Cicada 3301 Ransomware
Kyberturvallisuusasiantuntijat ovat analysoineet uuden kiristysohjelman muunnelman nimeltä Cicada 3301, jolla on samat piirteet kuin nyt lopetetun BlackCat (tunnetaan myös nimellä ALPHV) -toiminto. Cicada 3301 kohdistuu ensisijaisesti pieniin ja keskisuuriin yrityksiin (SMB) hyödyntäen haavoittuvuuksia alkuperäisenä tukiasemanaan opportunististen hyökkäysten avulla.
Tämä Rustissa kehitetty kiristysohjelma on suunniteltu saastuttamaan sekä Windows- että Linux/ESXi-järjestelmiä. Se havaittiin ensimmäisen kerran kesäkuussa 2024, kun se alkoi rekrytoida tytäryhtiöitä Ransomware-as-a-Service (RaaS) -alustalleen RAMP-maanalaisen foorumin postauksen kautta. Yksi kiristysohjelmien erottuvista ominaisuuksista on vaarantuneiden käyttäjän tunnistetietojen upottaminen suoritettavaan tiedostoon, jota käytetään myöhemmin suorittamaan PsExec, laillinen työkalu, joka mahdollistaa ohjelman etäsuorittamisen.
Cicada 3301 käyttää ChaCha20-salausalgoritmia, symmetrisen salauksen muotoa, tiedostojen lukitsemiseen. Salattujen tiedostojen nimet on muutettu satunnaisesti luodulla seitsemän merkin tarkennuksella. Esimerkiksi tiedosto, jonka alkuperäinen nimi oli '1.doc', muunnetaan muotoon 1.doc.f11a46a1. Kun salaus on suoritettu, kiristysohjelma jättää lunnaita koskevan huomautuksen tekstitiedostoon, jonka nimi on RESTORE-[file_extension]-DATA.txt.
Sisällysluettelo
Hyökkääjien vaatimukset Cicada 3301 Ransomwaren takana
Cicada 3301:n jättämä lunnaita koskeva muistio tekee selväksi, että lunnasohjelma on suunniteltu kohdistamaan yrityksiä. Se ilmoittaa uhrille, että hänen verkkonsa on vaarantunut, tiedostot on salattu ja varmuuskopiot poistettu. Lisäksi se varoittaa, että verkosta on varastettu huomattava määrä arkaluontoisia tietoja.
Hyökkääjät vaativat maksua salauksenpurkutyökalusta ja suodatettujen tietojen poistamisesta. Jos näitä vaatimuksia ei täytetä, ne uhkaavat vuotaa varastetut tiedot ja ilmoittaa asiasta viranomaisille sekä uhrin asiakkaille, yhteistyökumppaneille ja kilpailijoille.
Osoituksena siitä, että tiedostojen palautus on mahdollista, hakkerit ehdottavat yhden tiedoston salauksen purkamista ilmaiseksi. Huomautus varoittaa myös yrittämästä purkaa tai muuttaa salattuja tiedostoja, koska se voi johtaa pysyvään tietojen menettämiseen.
Yhtäläisyyksiä aiempien kiristyshaittaohjelmien kanssa
Cicada3301 jakaa useita taktiikoita BlackCatin kanssa, mukaan lukien ChaCha20-salauksen käyttö, sutil-komento symbolisten linkkien arvioimiseksi ja uudelleenohjattujen tiedostojen salaamiseksi sekä IISReset.exe IIS-palveluiden pysäyttämiseksi ja tiedostojen salaamiseksi, jotka saattaisivat muuten olla lukittuina muutoksilta tai poistamiselta.
Muita samankaltaisuuksia BlackCatin kanssa ovat toimet varjokopioiden poistamiseksi, järjestelmän palautuksen poistaminen käytöstä muokkaamalla bcdedit-apuohjelmaa, MaxMpxCt-arvon kasvattaminen suurempien liikennemäärien (kuten SMB PsExec -pyyntöjen) käsittelemiseksi ja kaikkien tapahtumalokien pyyhkiminen wevtutil-apuohjelman avulla.
Cicada 3301 Ransomware kohdistaa 35 eri tiedostotyyppiin
Cicada3301 on myös havainnut paikallisesti käyttöönotettujen virtuaalikoneiden (VM:iden) pysäyttämisen, kuten Megazord Ransomwaren ja Yanluowang Ransomwaren aiemmin omaksuivat, ja lopettavan useat varmuuskopiointi- ja palautuspalvelut sekä koodatun luettelon kymmenistä prosesseista.
Sen lisäksi, että lunnasohjelma ylläpitää sisäänrakennettua luetteloa poissuljetuista tiedostoista ja hakemistoista salausprosessin aikana, se kohdistuu yhteensä 35 tiedostopäätteeseen - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raaka, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ja txt.
Tutkijat ovat myös löytäneet muita työkaluja, kuten EDRSandBlast, jotka asettavat haavoittuvan allekirjoitetun ohjaimen ohittamaan EDR-havainnot. Käytännön on myös BlackByte Ransomware -ryhmä omaksunut aiemmin.
Cicada 3301 Ransomwaren luomassa lunnasilmoituksessa lukee:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
