Cicada 3301 Ransomware
Cybersikkerhedseksperter har analyseret en ny ransomware-variant ved navn Cicada 3301, som deler egenskaber med den nu udgåede BlackCat- operation (også kendt som ALPHV). Cicada 3301 er primært rettet mod små og mellemstore virksomheder (SMB'er) og udnytter sårbarheder som dets første adgangspunkt gennem opportunistiske angreb.
Denne ransomware er udviklet i Rust og er designet til at inficere både Windows og Linux/ESXi-systemer. Det blev først opdaget i juni 2024, da det begyndte at rekruttere tilknyttede selskaber til sin Ransomware-as-a-Service (RaaS) platform gennem et indlæg på RAMP underjordiske forum. En af ransomwarens karakteristiske træk er dens indlejring af kompromitterede brugeroplysninger i den eksekverbare, som senere bruges til at udføre PsExec, et legitimt værktøj, der muliggør fjernudførelse af programmer.
Cicada 3301 bruger ChaCha20 kryptografiske algoritme, en form for symmetrisk kryptering, til at låse filer. Krypterede filer får deres navne ændret med en tilfældigt genereret syv-tegns udvidelse. For eksempel omdannes en fil, der oprindeligt hedder '1.doc', til '1.doc.f11a46a1.' Når krypteringen er udført, efterlader ransomwaren en løsesumseddel i en tekstfil med navnet 'RESTORE-[file_extension]-DATA.txt.'
Indholdsfortegnelse
Kravene fra angriberne bag Cicada 3301 Ransomware
Løsesedlen efterladt af Cicada 3301 gør det klart, at løsesumwaren er designet til at målrette mod virksomheder. Den informerer offeret om, at deres netværk er blevet kompromitteret, filer krypteret og sikkerhedskopier slettet. Derudover advarer den om, at en betydelig mængde følsomme data er blevet stjålet fra netværket.
Angriberne kræver betaling for dekrypteringsværktøjet og for sletning af de eksfiltrerede data. Hvis disse krav ikke bliver opfyldt, truer de med at lække de stjålne oplysninger og underretter de tilsynsmyndigheder, såvel som ofrets kunder, samarbejdspartnere og konkurrenter.
Som en demonstration af, at filgendannelse er mulig, foreslår hackerne at dekryptere én fil gratis. Noten advarer også mod at forsøge at dekryptere eller ændre de krypterede filer, da det kan føre til permanent datatab.
Ligheder med tidligere ransomware-trusler
Cicada3301 deler flere taktikker med BlackCat, herunder brugen af ChaCha20-kryptering, sutil-kommandoen til at vurdere symbolske links og kryptere omdirigerede filer og IISReset.exe til at standse IIS-tjenester og kryptere filer, der ellers kunne være låst mod ændring eller sletning.
Yderligere ligheder med BlackCat omfatter handlinger til at fjerne skyggekopier, deaktivere systemgendannelse ved at ændre bcdedit-værktøjet, øge MaxMpxCt-værdien for at håndtere større trafikmængder (såsom SMB PsExec-anmodninger) og slette alle hændelseslogfiler ved hjælp af wevtutil-værktøjet.
Cicada 3301 Ransomware er rettet mod 35 forskellige filtyper
Cicada3301 har også observeret at stoppe lokalt installerede virtuelle maskiner (VM'er), en adfærd, der tidligere er blevet vedtaget af Megazord Ransomware og Yanluowang Ransomware , og afslutte forskellige backup- og gendannelsestjenester og en hårdkodet liste over dusinvis af processer.
Udover at vedligeholde en indbygget liste over ekskluderede filer og mapper under krypteringsprocessen, er ransomwaren målrettet mod i alt 35 filtypenavne - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , rå, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm og txt.
Forskere har også afsløret yderligere værktøjer som EDRSandBlast, der våbengør en sårbar signeret driver til at omgå EDR-detektioner, en praksis, som også tidligere blev vedtaget af BlackByte Ransomware-gruppen.
Løsesedlen genereret af Cicada 3301 Ransomware lyder:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
