Cicada 3301 Ransomware
Kibernetinio saugumo ekspertai išanalizavo naują išpirkos reikalaujančios programos variantą, pavadintą Cicada 3301, kuris turi bendrų bruožų su dabar nutraukta BlackCat (taip pat žinoma kaip ALPHV) operacija. „Cicada 3301“ pirmiausia yra skirtas mažoms ir vidutinėms įmonėms (MVĮ), naudodamas pažeidžiamumus kaip pradinį prieigos tašką per oportunistines atakas.
Sukurta Rust, ši išpirkos reikalaujanti programa skirta užkrėsti tiek Windows, tiek Linux/ESXi sistemas. Pirmą kartą jis buvo pastebėtas 2024 m. birželio mėn., kai pradėjo samdyti filialus savo Ransomware-as-a-Service (RaaS) platformai, paskelbdamas įrašą požeminiame RAMP forume. Viena iš skiriamųjų išpirkos reikalaujančios programinės įrangos ypatybių yra pažeistų vartotojo kredencialų įterpimas vykdomajame faile, kuris vėliau naudojamas vykdyti PsExec – teisėtą įrankį, leidžiantį nuotoliniu būdu vykdyti programą.
Cicada 3301 failams užrakinti naudoja ChaCha20 kriptografinį algoritmą, simetrinio šifravimo formą. Šifruotų failų pavadinimai pakeisti atsitiktinai sugeneruotu septynių simbolių plėtiniu. Pavyzdžiui, failas iš pradžių pavadintas „1.doc“ paverčiamas į „1.doc.f11a46a1“. Kai šifruojama, išpirkos reikalaujanti programa palieka išpirkos raštelį tekstiniame faile pavadinimu „RESTORE-[file_extension]-DATA.txt“.
Turinys
„Cicada 3301 Ransomware“ užpuolikų reikalavimai
„Cicada 3301“ paliktas išpirkos raštas aiškiai parodo, kad išpirkos reikalaujanti programa yra skirta verslui. Ji informuoja auką, kad jų tinklas buvo pažeistas, failai užšifruoti, o atsarginės kopijos ištrintos. Be to, jis įspėja, kad iš tinklo buvo pavogta daug neskelbtinų duomenų.
Užpuolikai reikalauja sumokėti už iššifravimo įrankį ir išfiltruotų duomenų ištrynimą. Jei šie reikalavimai nebus įvykdyti, jie grasina nutekinti pavogtą informaciją ir apie tai pranešti priežiūros institucijoms, taip pat nukentėjusiojo klientams, partneriams ir konkurentams.
Įrodydami, kad failų atkūrimas yra įmanomas, įsilaužėliai siūlo nemokamai iššifruoti vieną failą. Pastaba taip pat įspėjama nebandyti iššifruoti ar pakeisti užšifruotų failų, nes tai gali sukelti nuolatinį duomenų praradimą.
Panašumai su ankstesnėmis „Ransomware“ grėsmėmis
„Cicada3301“ dalijasi keliomis taktikomis su „BlackCat“, įskaitant „ChaCha20“ šifravimo naudojimą, komandą sutil, skirtą simbolinėms nuorodoms įvertinti ir peradresuotų failų šifravimui, ir IISReset.exe, skirtą sustabdyti IIS paslaugas ir užšifruoti failus, kurie kitu atveju gali būti užblokuoti nuo pakeitimo ar ištrynimo.
Papildomi „BlackCat“ panašumai apima veiksmus, skirtus pašalinti šešėlines kopijas, išjungti sistemos atkūrimą modifikuojant bcdedit įrankį, padidinti MaxMpxCt reikšmę, kad būtų galima apdoroti didesnį srautą (pvz., SMB PsExec užklausas), ir ištrinti visus įvykių žurnalus naudojant „wevtutil“ priemonę.
„Cicada 3301 Ransomware“ taikoma 35 skirtingiems failų tipams
„Cicada3301“ taip pat pastebėjo, kad sustabdo lokaliai įdiegtas virtualias mašinas (VM), o tai anksčiau taikė „Megazord Ransomware“ ir „Yanluowang Ransomware“ , ir nutraukia įvairias atsarginių kopijų kūrimo ir atkūrimo paslaugas bei užkoduotą dešimčių procesų sąrašą.
Išpirkos reikalaujanti programa ne tik palaiko integruotą neįtrauktų failų ir katalogų sąrašą šifravimo proceso metu, bet ir taiko iš viso 35 failų plėtinius – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png. , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ir txt.
Tyrėjai taip pat atskleidė papildomų įrankių, pvz., EDRSandBlast, kurie ginkluoja pažeidžiamą pasirašytą tvarkyklę, kad būtų išvengta EDR aptikimo. Šią praktiką praeityje taikė ir BlackByte Ransomware grupė.
„Cicada 3301 Ransomware“ sugeneruota išpirkos pažyma yra tokia:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
