Ransomware Cicada 3301
Gli esperti di sicurezza informatica hanno analizzato una nuova variante di ransomware denominata Cicada 3301, che condivide tratti con l'operazione BlackCat (nota anche come ALPHV), ora interrotta. Cicada 3301 prende di mira principalmente le piccole e medie imprese (PMI), sfruttando le vulnerabilità come punto di accesso iniziale tramite attacchi opportunistici.
Sviluppato in Rust, questo ransomware è progettato per infettare sia i sistemi Windows che Linux/ESXi. È stato individuato per la prima volta nel giugno 2024, quando ha iniziato a reclutare affiliati per la sua piattaforma Ransomware-as-a-Service (RaaS) tramite un post sul forum underground RAMP. Una delle caratteristiche distintive del ransomware è l'incorporamento di credenziali utente compromesse all'interno dell'eseguibile, che vengono poi utilizzate per eseguire PsExec, uno strumento legittimo che consente l'esecuzione di programmi in remoto.
Cicada 3301 utilizza l'algoritmo crittografico ChaCha20, una forma di crittografia simmetrica, per bloccare i file. I file crittografati hanno i loro nomi alterati con un'estensione di sette caratteri generata casualmente. Ad esempio, un file originariamente denominato '1.doc' viene trasformato in '1.doc.f11a46a1'. Una volta eseguita la crittografia, il ransomware lascia una nota di riscatto in un file di testo denominato 'RESTORE-[estensione_file]-DATA.txt'.
Sommario
Le richieste degli aggressori dietro il ransomware Cicada 3301
La richiesta di riscatto lasciata da Cicada 3301 chiarisce che il ransomware è progettato per colpire le aziende. Informa la vittima che la sua rete è stata compromessa, i file sono stati crittografati e i backup sono stati cancellati. Inoltre, avverte che una quantità significativa di dati sensibili è stata rubata dalla rete.
Gli aggressori chiedono il pagamento per lo strumento di decrittazione e per l'eliminazione dei dati esfiltrati. Se queste richieste non vengono soddisfatte, minacciano di far trapelare le informazioni rubate e di avvisare le autorità di regolamentazione, nonché i clienti, i partner e i concorrenti della vittima.
Come dimostrazione che il recupero dei file è possibile, gli hacker propongono di decifrare un file gratuitamente. La nota mette anche in guardia dal tentare di decifrare o alterare i file crittografati, poiché ciò potrebbe portare alla perdita permanente dei dati.
Similitudini con le precedenti minacce ransomware
Cicada3301 condivide diverse tattiche con BlackCat, tra cui l'uso della crittografia ChaCha20, il comando suutil per valutare i collegamenti simbolici e crittografare i file reindirizzati e IISReset.exe per interrompere i servizi IIS e crittografare i file che altrimenti potrebbero essere bloccati e non essere modificati o eliminati.
Ulteriori somiglianze con BlackCat includono azioni per rimuovere le copie shadow, disabilitare il ripristino del sistema modificando l'utilità bcdedit, aumentare il valore MaxMpxCt per gestire volumi di traffico maggiori (come le richieste SMB PsExec) e cancellare tutti i registri eventi utilizzando l'utilità wevtutil.
Il ransomware Cicada 3301 prende di mira 35 diversi tipi di file
Cicada3301 ha anche osservato l'arresto di macchine virtuali (VM) distribuite localmente, un comportamento precedentemente adottato da Megazord Ransomware e Yanluowang Ransomware , e la terminazione di vari servizi di backup e ripristino e di un elenco hard-coded di decine di processi.
Oltre a mantenere un elenco integrato di file e directory esclusi durante il processo di crittografia, il ransomware prende di mira un totale di 35 estensioni di file: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm e txt.
I ricercatori hanno scoperto anche altri strumenti, come EDRSandBlast, che trasformano un driver firmato vulnerabile in un'arma per eludere i rilevamenti EDR, una pratica adottata in passato anche dal gruppo BlackByte Ransomware.
La richiesta di riscatto generata dal ransomware Cicada 3301 recita:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
