הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנת כופר תוכנת כופר של Cicada 3301

תוכנת כופר של Cicada 3301

עד Mezo ב-תוכנת כופר
לתרגם ל:
עברית

מומחי אבטחת סייבר ניתחו גרסה חדשה של תוכנת כופר בשם Cicada 3301, אשר חולקת תכונות עם פעולת BlackCat (הידועה גם בשם ALPHV) שהופסקה כעת. ה-Cicada 3301 מכוון בעיקר לעסקים קטנים עד בינוניים (SMB), וממנף נקודות תורפה כנקודת הגישה הראשונית שלו באמצעות התקפות אופורטוניסטיות.

תוכנת הכופר הזו פותחה ב-Rust, נועדה להדביק מערכות Windows ו-Linux/ESXi כאחד. זה זוהה לראשונה ביוני 2024, כשהחל לגייס שותפים לפלטפורמת Ransomware-as-a-Service (RaaS) שלה באמצעות פוסט בפורום המחתרתי RAMP. אחד המאפיינים המייחדים את תוכנת הכופר הוא הטמעה של אישורי משתמש שנפגעו בתוך קובץ ההפעלה, המשמשים מאוחר יותר לביצוע PsExec, כלי לגיטימי המאפשר ביצוע תוכניות מרחוק.

ה-Cicada 3301 משתמש באלגוריתם ההצפנה ChaCha20, סוג של הצפנה סימטרית, כדי לנעול קבצים. שמותיהם של קבצים מוצפנים משתנים עם סיומת של שבעה תווים שנוצרה באופן אקראי. לדוגמה, קובץ בשם במקור '1.doc' הופך ל-'1.doc.f11a46a1'. לאחר ביצוע ההצפנה, תוכנת הכופר משאירה פתק כופר בקובץ טקסט בשם 'RESTORE-[file_extension]-DATA.txt.'

הדרישות של התוקפים מאחורי תוכנת הכופר Cicada 3301

פתק הכופר שהשאיר ה-Cicada 3301 מבהיר שתוכנת הכופר נועדה לכוון לעסקים. זה מודיע לקורבן שהרשת שלו נפגעה, קבצים הוצפנו וגיבויים נמחקו. בנוסף, הוא מזהיר כי כמות משמעותית של נתונים רגישים נגנבה מהרשת.

התוקפים דורשים תשלום עבור כלי הפענוח ועבור מחיקת הנתונים שחולצו. אם דרישות אלו לא ייענו, הם מאיימים להדליף את המידע הגנוב ולהודיע לרשויות הרגולטוריות, כמו גם ללקוחות, שותפיו ומתחריו של הנפגע.

כהדגמה ששחזור קבצים אפשרי, ההאקרים מציעים לפענח קובץ אחד בחינם. ההערה גם מזהירה מפני ניסיון לפענח או לשנות את הקבצים המוצפנים, שכן פעולה זו עלולה להוביל לאובדן נתונים קבוע.

קווי דמיון עם איומי כופר קודמים

ה-Cicada3301 חולק מספר טקטיקות עם BlackCat, כולל שימוש בהצפנת ChaCha20, פקודת sutil להערכת קישורים סמליים והצפנת קבצים מנותבים מחדש, ו-IISReset.exe לעצירת שירותי IIS ולהצפין קבצים שאחרת עלולים להינעל מפני שינוי או מחיקה.

קווי דמיון נוספים ל-BlackCat כוללים פעולות להסרת עותקי צל, השבתת שחזור מערכת על ידי שינוי כלי השירות bcdedit, הגדלת ערך MaxMpxCt כדי לטפל בנפחי תעבורה גדולים יותר (כגון בקשות SMB PsExec), ומחק את כל יומני האירועים באמצעות כלי השירות wevtutil.

תוכנת הכופר של Cicada 3301 מכוונת ל-35 סוגי קבצים שונים

ה-Cicada3301 צפה גם בעצירת מכונות וירטואליות בפריסה מקומית (VMs), התנהגות שאומצה בעבר על ידי Megazord Ransomware ו- Yanluowang Ransomware , וסיום שירותי גיבוי ושחזור שונים ורשימה מקודדת של עשרות תהליכים.

מלבד שמירה על רשימה מובנית של קבצים וספריות שלא נכללו במהלך תהליך ההצפנה, תוכנת הכופר מכוונת לסך של 35 הרחבות קבצים - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ו-txt.

חוקרים חשפו גם כלים נוספים כמו EDRSandBlast המנצלים נהג חתום פגיע כדי לעקוף זיהוי EDR, נוהג שאומץ גם על ידי קבוצת BlackByte Ransomware בעבר.

בפתק הכופר שנוצר על ידי תוכנת הכופר Cicada 3301 נכתב:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'

מגמות

רדיו אינטרנט

תוכניות שעלולות להיות לא רצויות, תוכנות פרסום, חוטפי דפדפן
בעולם יותר ויותר מחובר, אבטחת המכשירים שלך קריטית מאי פעם. איומי סייבר מתפתחים, ותוכניות פוטנציאליות לא רצויות (PUPs) מייצגות קטגוריה מטעה במיוחד של תוכנות שעלולות לערער את הפרטיות והאבטחה שלך....

הכי נצפה

הונאת דוא"ל 'Gek Squad'

פישינג, ספאם
37,897
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...