Cicada 3301 lunavara
Küberturvalisuse eksperdid on analüüsinud uut lunavara varianti nimega Cicada 3301, millel on samad tunnused nagu nüüdseks lõpetatud BlackCat (tuntud ka kui ALPHV). Cicada 3301 on suunatud peamiselt väikestele ja keskmise suurusega ettevõtetele (SMB), kasutades oportunistlike rünnakute kaudu oma esialgse juurdepääsupunktina turvaauke.
See Rustis välja töötatud lunavara on loodud nakatama nii Windowsi kui ka Linuxi/ESXi süsteeme. Seda märgati esmakordselt 2024. aasta juunis, kui ta alustas RAMP maa-aluse foorumi postituse kaudu oma Ransomware-as-a-Service (RaaS) platvormi sidusettevõtete värbamist. Üks lunavara eristavaid omadusi on täitmisfaili ohustatud kasutajamandaatide manustamine, mida hiljem kasutatakse PsExeci käivitamiseks, mis on seaduslik tööriist, mis võimaldab programmi kaugkäivitamist.
Cicada 3301 kasutab failide lukustamiseks ChaCha20 krüptoalgoritmi, sümmeetrilise krüptimise vormi. Krüptitud failide nimesid muudetakse juhuslikult genereeritud seitsmekohalise laiendiga. Näiteks fail algselt nimega "1.doc" teisendatakse failiks "1.doc.f11a46a1". Kui krüpteerimine on tehtud, jätab lunavara tekstifaili nimega 'RESTORE-[file_extension]-DATA.txt' lunaraha märkuse.
Sisukord
Cicada 3301 lunavara taga olevate ründajate nõudmised
Cicada 3301 jäetud lunarahateade näitab selgelt, et lunavara on mõeldud ettevõtete sihtimiseks. See teavitab ohvrit, et tema võrku on rikutud, failid on krüpteeritud ja varukoopiad on kustutatud. Lisaks hoiatab see, et võrgust on varastatud märkimisväärne hulk tundlikke andmeid.
Ründajad nõuavad tasu dekrüpteerimistööriista ja väljafiltreeritud andmete kustutamise eest. Kui neid nõudmisi ei täideta, ähvardavad nad varastatud teabe lekitamisega ning teavitavad sellest nii reguleerivaid asutusi kui ka ohvri kliente, koostööpartnereid ja konkurente.
Demonstreerimiseks, et failide taastamine on võimalik, teevad häkkerid ettepaneku üks fail tasuta dekrüpteerida. Märkus hoiatab ka krüptitud failide dekrüpteerimise või muutmise katsete eest, kuna see võib põhjustada püsiva andmete kadumise.
Sarnasused varasemate lunavaraohtudega
Cicada3301 jagab BlackCatiga mitut taktikat, sealhulgas ChaCha20 krüptimise kasutamist, käsku sutil sümboolsete linkide hindamiseks ja ümbersuunatud failide krüptimiseks ning IISReset.exe IIS-i teenuste peatamiseks ja failide krüptimiseks, mida muidu võib muutmise või kustutamise eest lukustada.
Täiendavad sarnasused BlackCatiga hõlmavad toimingud varikoopiate eemaldamiseks, süsteemi taastamise keelamiseks utiliidi bcdedit muutmisega, MaxMpxCt väärtuse suurendamiseks suuremate liiklusmahtude (nt SMB PsExec päringud) käsitlemiseks ja kõigi sündmuste logide kustutamiseks utiliidi wevtutil abil.
Cicada 3301 lunavara sihib 35 erinevat failitüüpi
Cicada3301 on samuti täheldanud kohapeal juurutatud virtuaalmasinate (VM-de) peatamist, mille käitumist on varem kasutanud Megazord Ransomware ja Yanluowang Ransomware , ning erinevate varundus- ja taasteteenuste ning kümnete protsesside kõvakodeeritud loendi lõpetamist.
Lisaks krüpteerimisprotsessi ajal välistatud failide ja kataloogide sisseehitatud loendi pidamisele sihib lunavara kokku 35 faililaiendit – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , toores, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ja txt.
Teadlased on avastanud ka täiendavaid tööriistu, nagu EDRSandBlast, mis relvastavad haavatava allkirjastatud draiveri EDR-tuvastustest möödahiilimiseks. Seda praktikat kasutas varem ka BlackByte Ransomware grupp.
Cicada 3301 Ransomware loodud lunarahateatis on järgmine:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
