Cicada 3301 Ransomware
Odborníci na kybernetickou bezpečnost analyzovali novou variantu ransomwaru nazvanou Cicada 3301, která sdílí vlastnosti s nyní ukončenou operací BlackCat (také známou jako ALPHV). Cicada 3301 se primárně zaměřuje na malé a střední podniky (SMB) a využívá zranitelnosti jako svůj počáteční přístupový bod prostřednictvím oportunistických útoků.
Tento ransomware vyvinutý v Rustu je navržen tak, aby infikoval systémy Windows i Linux/ESXi. Poprvé byl spatřen v červnu 2024, kdy začal nabírat pobočky pro svou platformu Ransomware-as-a-Service (RaaS) prostřednictvím příspěvku na podzemním fóru RAMP. Jednou z charakteristických vlastností ransomwaru je jeho vložení kompromitovaných uživatelských pověření do spustitelného souboru, které se později použijí ke spuštění PsExec, legitimního nástroje, který umožňuje vzdálené spouštění programů.
Cicada 3301 používá k zamykání souborů kryptografický algoritmus ChaCha20, formu symetrického šifrování. Šifrované soubory mají názvy změněné náhodně vygenerovanou příponou o sedmi znacích. Například soubor původně pojmenovaný '1.doc' se transformuje na '1.doc.f11a46a1.' Jakmile je šifrování dokončeno, ransomware zanechá výkupné v textovém souboru s názvem 'RESTORE-[file_extension]-DATA.txt.'
Obsah
Požadavky útočníků za ransomwarem Cicada 3301
Poznámka o výkupném zanechaná Cicada 3301 jasně ukazuje, že ransomware je navržen tak, aby cílil na podniky. Informuje oběť, že její síť byla kompromitována, soubory byly zašifrovány a zálohy byly vymazány. Navíc varuje, že ze sítě bylo odcizeno značné množství citlivých dat.
Útočníci požadují platbu za dešifrovací nástroj a za smazání exfiltrovaných dat. Pokud tyto požadavky nebudou splněny, hrozí únikem odcizených informací a upozorní regulační orgány, stejně jako zákazníci, partneři a konkurenti oběti.
Jako ukázku, že obnova souborů je možná, hackeři navrhují dešifrovat jeden soubor zdarma. Poznámka také varuje před pokusy o dešifrování nebo změnu zašifrovaných souborů, protože by to mohlo vést k trvalé ztrátě dat.
Podobnosti s předchozími hrozbami ransomwaru
Cicada3301 sdílí několik taktik s BlackCat, včetně použití šifrování ChaCha20, příkazu sutil k vyhodnocení symbolických odkazů a šifrování přesměrovaných souborů a IISReset.exe k zastavení služeb IIS a šifrování souborů, které by jinak mohly být uzamčeny před úpravou nebo smazáním.
Mezi další podobnosti s BlackCat patří akce k odstranění stínových kopií, zakázání obnovení systému úpravou obslužného programu bcdedit, zvýšení hodnoty MaxMpxCt pro zpracování větších objemů provozu (jako jsou požadavky SMB PsExec) a vymazání všech protokolů událostí pomocí nástroje wevtutil.
Cicada 3301 Ransomware se zaměřuje na 35 různých typů souborů
Cicada3301 také pozoroval zastavení lokálně nasazených virtuálních strojů (VM), což je chování dříve přijaté Megazord Ransomware a Yanluowang Ransomware , a ukončení různých zálohovacích a obnovovacích služeb a pevně zakódovaného seznamu desítek procesů.
Kromě udržování vestavěného seznamu vyloučených souborů a adresářů během procesu šifrování se ransomware zaměřuje na celkem 35 přípon souborů - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png. , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm a txt.
Výzkumníci také odhalili další nástroje, jako je EDRSandBlast, které vyzbrojují zranitelný podepsaný ovladač a obcházejí detekce EDR, což je praxe, kterou v minulosti přijala také skupina BlackByte Ransomware.
Výkupné generované Cicada 3301 Ransomware zní:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
