باج افزار Cicada 3301

کارشناسان امنیت سایبری یک نوع باج‌افزار جدید به نام Cicada 3301 را تجزیه و تحلیل کرده‌اند که ویژگی‌های مشترکی با عملیات متوقف‌شده BlackCat (همچنین به عنوان ALPHV) دارد. Cicada 3301 عمدتاً مشاغل کوچک تا متوسط (SMBs) را هدف قرار می دهد و از آسیب پذیری ها به عنوان نقطه دسترسی اولیه خود از طریق حملات فرصت طلبانه استفاده می کند.

این باج افزار که در Rust توسعه یافته است، برای آلوده کردن هر دو سیستم Windows و Linux/ESXi طراحی شده است. این اولین بار در ژوئن 2024 مشاهده شد، زمانی که شروع به استخدام افراد وابسته برای پلتفرم Ransomware-as-a-Service (RaaS) خود از طریق پستی در انجمن زیرزمینی RAMP کرد. یکی از ویژگی‌های متمایز باج‌افزار، تعبیه اطلاعات کاربری در معرض خطر در فایل اجرایی است که بعداً برای اجرای PsExec، ابزاری قانونی که اجرای برنامه از راه دور را امکان‌پذیر می‌کند، استفاده می‌شود.

Cicada 3301 از الگوریتم رمزنگاری ChaCha20 که نوعی رمزگذاری متقارن است برای قفل کردن فایل ها استفاده می کند. نام فایل‌های رمزگذاری‌شده با پسوند هفت نویسه‌ای به‌طور تصادفی تغییر می‌کند. به عنوان مثال، یک فایل با نام اصلی "1.doc" به "1.doc.f11a46a1" تبدیل می شود. هنگامی که رمزگذاری انجام شد، باج‌افزار یک یادداشت باج در یک فایل متنی به نام «RESTORE-[file_extension]-DATA.txt» می‌گذارد.

خواسته های مهاجمان پشت باج افزار Cicada 3301

یادداشت باج به جا مانده توسط Cicada 3301 روشن می کند که این باج افزار برای هدف قرار دادن مشاغل طراحی شده است. به قربانی اطلاع می دهد که شبکه آنها در معرض خطر قرار گرفته است، فایل ها رمزگذاری شده اند و نسخه های پشتیبان پاک شده اند. علاوه بر این، هشدار می دهد که مقدار قابل توجهی از داده های حساس از شبکه به سرقت رفته است.

مهاجمان برای ابزار رمزگشایی و حذف داده‌های استخراج‌شده پول می‌خواهند. اگر این خواسته ها برآورده نشود، آنها تهدید به افشای اطلاعات سرقت شده و اطلاع مقامات نظارتی و همچنین مشتریان، شرکا و رقبای قربانی می کنند.

به عنوان نشانی از امکان بازیابی فایل، هکرها پیشنهاد می کنند یک فایل را به صورت رایگان رمزگشایی کنند. این یادداشت همچنین نسبت به تلاش برای رمزگشایی یا تغییر فایل های رمزگذاری شده هشدار می دهد، زیرا انجام این کار می تواند منجر به از دست رفتن دائمی داده ها شود.

شباهت با تهدیدات باج افزار قبلی

Cicada3301 چندین تاکتیک را با BlackCat به اشتراک می‌گذارد، از جمله استفاده از رمزگذاری ChaCha20، دستور sutil برای ارزیابی پیوندهای نمادین و رمزگذاری فایل‌های هدایت‌شده، و IISReset.exe برای توقف سرویس‌های IIS و رمزگذاری فایل‌هایی که ممکن است در غیر این صورت از تغییر یا حذف قفل شوند.

شباهت های اضافی به BlackCat شامل اقداماتی برای حذف کپی های سایه، غیرفعال کردن بازیابی سیستم با تغییر ابزار bcdedit، افزایش مقدار MaxMpxCt برای رسیدگی به حجم ترافیک بیشتر (مانند درخواست های SMB PsExec) و پاک کردن تمام گزارش های رویداد با استفاده از ابزار wevtutil است.

باج افزار Cicada 3301 35 نوع فایل مختلف را هدف قرار می دهد

Cicada3301 همچنین توقف ماشین‌های مجازی (VMs) مستقر شده محلی را مشاهده کرده است، رفتاری که قبلاً توسط باج‌افزار Megazord و باج‌افزار Yanluowang اتخاذ شده بود، و خدمات پشتیبان‌گیری و بازیابی مختلف و فهرست سخت‌کد ده‌ها فرآیند را خاتمه داد.

علاوه بر حفظ فهرست داخلی از فایل‌ها و دایرکتوری‌های حذف‌شده در طول فرآیند رمزگذاری، باج‌افزار در مجموع ۳۵ پسوند فایل را هدف قرار می‌دهد - sql، doc، rtf، xls، jpg، jpeg، psd، docm، xlsm، ods، ppsx، png. , خام, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, و txt.

محققان همچنین ابزارهای دیگری مانند EDRSandBlast را کشف کرده‌اند که یک درایور امضاشده آسیب‌پذیر را برای دور زدن تشخیص‌های EDR به سلاح تبدیل می‌کند، روشی که در گذشته توسط گروه باج‌افزار BlackByte نیز اتخاذ شده بود.

در یادداشت باج‌گیری که توسط باج‌افزار Cicada 3301 ایجاد شده است، آمده است:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'