Cicada 3301 Ransomware
Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανέλυσαν μια νέα παραλλαγή ransomware που ονομάζεται Cicada 3301, η οποία μοιράζεται χαρακτηριστικά με τη λειτουργία BlackCat (επίσης γνωστή ως ALPHV) που έχει πλέον διακοπεί. Το Cicada 3301 στοχεύει κυρίως τις μικρές και μεσαίες επιχειρήσεις (SMBs), αξιοποιώντας τις ευπάθειες ως αρχικό σημείο πρόσβασης μέσω ευκαιριακών επιθέσεων.
Αναπτύχθηκε στο Rust, αυτό το ransomware έχει σχεδιαστεί για να μολύνει συστήματα Windows και Linux/ESXi. Εντοπίστηκε για πρώτη φορά τον Ιούνιο του 2024, όταν άρχισε να στρατολογεί θυγατρικές για την πλατφόρμα Ransomware-as-a-Service (RaaS) μέσω μιας ανάρτησης στο υπόγειο φόρουμ RAMP. Ένα από τα διακριτικά χαρακτηριστικά του ransomware είναι η ενσωμάτωσή του παραβιασμένων διαπιστευτηρίων χρήστη στο εκτελέσιμο αρχείο, τα οποία αργότερα χρησιμοποιούνται για την εκτέλεση του PsExec, ενός νόμιμου εργαλείου που επιτρέπει την απομακρυσμένη εκτέλεση προγράμματος.
Το Cicada 3301 χρησιμοποιεί τον κρυπτογραφικό αλγόριθμο ChaCha20, μια μορφή συμμετρικής κρυπτογράφησης, για να κλειδώνει αρχεία. Τα κρυπτογραφημένα αρχεία αλλάζουν τα ονόματά τους με μια επέκταση επτά χαρακτήρων που δημιουργείται τυχαία. Για παράδειγμα, ένα αρχείο με το αρχικό όνομα "1.doc" μετατρέπεται σε "1.doc.f11a46a1". Μόλις ολοκληρωθεί η κρυπτογράφηση, το ransomware αφήνει μια σημείωση λύτρων σε ένα αρχείο κειμένου με το όνομα "RESTORE-[file_extension]-DATA.txt".
Πίνακας περιεχομένων
Οι απαιτήσεις των επιτιθέμενων πίσω από το Cicada 3301 Ransomware
Το σημείωμα λύτρων που άφησε το Cicada 3301 καθιστά σαφές ότι το ransomware έχει σχεδιαστεί για να στοχεύει επιχειρήσεις. Ενημερώνει το θύμα ότι το δίκτυό του έχει παραβιαστεί, τα αρχεία έχουν κρυπτογραφηθεί και τα αντίγραφα ασφαλείας έχουν διαγραφεί. Επιπλέον, προειδοποιεί ότι έχει κλαπεί σημαντικός όγκος ευαίσθητων δεδομένων από το δίκτυο.
Οι εισβολείς απαιτούν πληρωμή για το εργαλείο αποκρυπτογράφησης και για τη διαγραφή των δεδομένων που έχουν διεισδύσει. Εάν δεν ικανοποιηθούν αυτές οι απαιτήσεις, απειλούν να διαρρεύσουν τις κλεμμένες πληροφορίες και να ειδοποιήσουν τις ρυθμιστικές αρχές, καθώς και τους πελάτες, τους συνεργάτες και τους ανταγωνιστές του θύματος.
Ως απόδειξη ότι η ανάκτηση αρχείων είναι δυνατή, οι χάκερ προτείνουν την αποκρυπτογράφηση ενός αρχείου δωρεάν. Η σημείωση προειδοποιεί επίσης να μην προσπαθήσετε να αποκρυπτογραφήσετε ή να αλλάξετε τα κρυπτογραφημένα αρχεία, καθώς κάτι τέτοιο θα μπορούσε να οδηγήσει σε μόνιμη απώλεια δεδομένων.
Ομοιότητες με προηγούμενες απειλές Ransomware
Το Cicada3301 μοιράζεται αρκετές τακτικές με το BlackCat, συμπεριλαμβανομένης της χρήσης της κρυπτογράφησης ChaCha20, της εντολής sutil για την αξιολόγηση συμβολικών συνδέσμων και την κρυπτογράφηση ανακατευθυνόμενων αρχείων και το IISReset.exe για διακοπή υπηρεσιών IIS και κρυπτογράφηση αρχείων που διαφορετικά θα μπορούσαν να κλειδωθούν από τροποποίηση ή διαγραφή.
Πρόσθετες ομοιότητες με το BlackCat περιλαμβάνουν ενέργειες για την αφαίρεση σκιωδών αντιγράφων, την απενεργοποίηση της ανάκτησης συστήματος τροποποιώντας το βοηθητικό πρόγραμμα bcdedit, την αύξηση της τιμής MaxMpxCt για τη διαχείριση μεγαλύτερων όγκων επισκεψιμότητας (όπως αιτήματα SMB PsExec) και τη διαγραφή όλων των αρχείων καταγραφής συμβάντων χρησιμοποιώντας το βοηθητικό πρόγραμμα wevtutil.
Το Cicada 3301 Ransomware στοχεύει 35 διαφορετικούς τύπους αρχείων
Το Cicada3301 παρατήρησε επίσης τη διακοπή των τοπικά αναπτυσσόμενων εικονικών μηχανών (VM), μια συμπεριφορά που είχε υιοθετηθεί προηγουμένως από το Megazord Ransomware και το Yanluowang Ransomware και τερματίζει διάφορες υπηρεσίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης και μια κωδικοποιημένη λίστα με δεκάδες διεργασίες.
Εκτός από τη διατήρηση μιας ενσωματωμένης λίστας εξαιρούμενων αρχείων και καταλόγων κατά τη διαδικασία κρυπτογράφησης, το ransomware στοχεύει συνολικά 35 επεκτάσεις αρχείων - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm και txt.
Οι ερευνητές έχουν επίσης αποκαλύψει πρόσθετα εργαλεία όπως το EDRSandBlast που οπλίζουν ένα ευάλωτο υπογεγραμμένο πρόγραμμα οδήγησης για να παρακάμψει τις ανιχνεύσεις EDR, μια πρακτική που υιοθετήθηκε επίσης από την ομάδα BlackByte Ransomware στο παρελθόν.
Το σημείωμα λύτρων που δημιουργήθηκε από το Cicada 3301 Ransomware αναφέρει:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
