Cicada 3301 Ransomware
A kiberbiztonsági szakértők egy új, Cicada 3301 nevű zsarolóvírus-változatot elemeztek, amely megegyezik a már megszűnt BlackCat (más néven ALPHV) működésével. A Cicada 3301 elsősorban a kis- és középvállalkozásokat célozza meg, kezdeti hozzáférési pontként a sebezhetőségeket kihasználva opportunista támadásokon keresztül.
A Rustban kifejlesztett zsarolóprogramot a Windows és a Linux/ESXi rendszerek megfertőzésére tervezték. Először 2024 júniusában észlelték, amikor a RAMP underground fórumán közzétett bejegyzésen keresztül elkezdett leányvállalatokat toborozni Ransomware-as-a-Service (RaaS) platformjához. A ransomware egyik megkülönböztető jellemzője, hogy a végrehajtható fájlba kompromittálódott felhasználói hitelesítő adatokat ágyaz be, amelyeket később a PsExec végrehajtására használnak, amely egy legitim eszköz, amely lehetővé teszi a távoli programfuttatást.
A Cicada 3301 a ChaCha20 kriptográfiai algoritmust, a szimmetrikus titkosítás egyik formáját használja a fájlok zárolására. A titkosított fájlok neve véletlenszerűen generált hét karakteres kiterjesztéssel módosul. Például egy eredetileg „1.doc” nevű fájl „1.doc.f11a46a1” formátumúvá alakul. A titkosítás befejezése után a zsarolóprogram váltságdíjról szóló feljegyzést hagy a „RESTORE-[file_extension]-DATA.txt” szövegfájlban.
Tartalomjegyzék
A támadók igényei a Cicada 3301 Ransomware mögött
A Cicada 3301 által hagyott váltságdíj-jegyzet egyértelművé teszi, hogy a ransomware-t vállalkozások megcélzására tervezték. Tájékoztatja az áldozatot, hogy a hálózatát feltörték, a fájlokat titkosították, és a biztonsági másolatokat törölték. Ezenkívül figyelmeztet arra, hogy jelentős mennyiségű érzékeny adatot loptak el a hálózatról.
A támadók fizetést követelnek a visszafejtő eszközért és a kiszűrt adatok törléséért. Ha ezek a követelések nem teljesülnek, az ellopott információk kiszivárogtatásával fenyegetőznek, és értesítik a szabályozó hatóságokat, valamint az áldozat ügyfeleit, partnereit és versenytársait.
Annak demonstrálására, hogy a fájlok helyreállítása lehetséges, a hackerek egy fájl ingyenes visszafejtését javasolják. A megjegyzés arra is figyelmeztet, hogy ne próbálja meg visszafejteni vagy módosítani a titkosított fájlokat, mivel ez végleges adatvesztéshez vezethet.
Hasonlóságok a korábbi Ransomware fenyegetésekkel
A Cicada3301 számos taktikán osztozik a BlackCattal, beleértve a ChaCha20 titkosítás használatát, a sutil parancsot a szimbolikus hivatkozások értékelésére és az átirányított fájlok titkosítására, valamint az IISReset.exe alkalmazást az IIS szolgáltatások leállítására és a fájlok titkosítására, amelyek egyébként nem módosíthatók vagy törölhetők.
A BlackCat további hasonlóságai közé tartozik az árnyékmásolatok eltávolítása, a rendszer-helyreállítás letiltása a bcdedit segédprogram módosításával, a MaxMpxCt érték növelése a nagyobb forgalom kezelésére (például az SMB PsExec kérések), valamint az összes eseménynapló törlése a wevtutil segédprogrammal.
A Cicada 3301 Ransomware 35 különböző fájltípust céloz meg
A Cicada3301 azt is megfigyelte, hogy leállítja a helyileg telepített virtuális gépeket (VM-eket), amely viselkedést korábban a Megazord Ransomware és a Yanluowang Ransomware alkalmazta, és megszünteti a különböző biztonsági mentési és helyreállítási szolgáltatásokat, valamint egy tucatnyi folyamat kemény kódolt listáját.
Amellett, hogy a titkosítási folyamat során a kizárt fájlok és könyvtárak beépített listáját karbantartja, a ransomware összesen 35 fájlkiterjesztést céloz meg - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , nyers, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm és txt.
A kutatók további eszközöket is felfedeztek, mint például az EDRSandBlast, amelyek egy sérülékeny aláírt illesztőprogramot fegyvereznek fel az EDR-észlelések megkerülésére, amelyet korábban a BlackByte Ransomware csoport is alkalmazott.
A Cicada 3301 Ransomware által generált váltságdíj a következőképpen hangzik:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
