Cicada 3301 Ransomware
Kiberdrošības eksperti ir analizējuši jaunu izpirkuma programmatūras variantu ar nosaukumu Cicada 3301, kam ir kopīgas iezīmes ar šobrīd pārtraukto BlackCat (pazīstama arī kā ALPHV) darbību. Cicada 3301 galvenokārt ir paredzēts maziem un vidējiem uzņēmumiem (MVU), kā sākotnējo piekļuves punktu izmantojot ievainojamības, izmantojot oportūnistiskus uzbrukumus.
Šis Rust izstrādātais izspiedējvīruss ir paredzēts, lai inficētu gan Windows, gan Linux/ESXi sistēmas. Pirmo reizi tas tika pamanīts 2024. gada jūnijā, kad tas sāka piesaistīt partnerus savai Ransomware-as-a-Service (RaaS) platformai, izmantojot ziņu RAMP pazemes forumā. Viena no izspiedējprogrammatūras atšķirīgajām iezīmēm ir tās kompromitētu lietotāja akreditācijas datu iegulšana izpildāmajā failā, kas vēlāk tiek izmantota, lai izpildītu PsExec — likumīgu rīku, kas nodrošina programmas attālo izpildi.
Cicada 3301 failu bloķēšanai izmanto ChaCha20 kriptogrāfijas algoritmu, simetriskas šifrēšanas veidu. Šifrētu failu nosaukumi ir mainīti ar nejauši ģenerētu septiņu rakstzīmju paplašinājumu. Piemēram, fails ar sākotnējo nosaukumu “1.doc” tiek pārveidots par “1.doc.f11a46a1”. Kad šifrēšana ir pabeigta, izpirkuma programmatūra atstāj izpirkuma maksu teksta failā ar nosaukumu RESTORE-[file_extension]-DATA.txt.
Satura rādītājs
Uzbrucēju prasības aiz Cicada 3301 Ransomware
Cicada 3301 atstātā izpirkuma piezīme skaidri parāda, ka izpirkuma programmatūra ir paredzēta uzņēmumu mērķauditorijai. Tas informē upuri, ka viņa tīkls ir uzlauzts, faili ir šifrēti un dublējumkopijas ir izdzēstas. Turklāt tas brīdina, ka no tīkla ir nozagts ievērojams daudzums sensitīvu datu.
Uzbrucēji pieprasa samaksu par atšifrēšanas rīku un izfiltrēto datu dzēšanu. Ja šīs prasības netiks izpildītas, tiek draudēts nozagtās informācijas nopludināšana un par to paziņot regulējošām iestādēm, kā arī cietušā klientiem, sadarbības partneriem un konkurentiem.
Lai pierādītu, ka failu atkopšana ir iespējama, hakeri piedāvā bez maksas atšifrēt vienu failu. Piezīme arī brīdina par mēģinājumu atšifrēt vai mainīt šifrētos failus, jo tas var izraisīt neatgriezenisku datu zudumu.
Līdzības ar iepriekšējiem Ransomware draudiem
Cicada3301 koplieto vairākas taktikas ar BlackCat, tostarp ChaCha20 šifrēšanas izmantošanu, komandu sutil, lai novērtētu simboliskās saites un šifrētu novirzītos failus, un IISReset.exe, lai apturētu IIS pakalpojumus un šifrētu failus, kas citādi varētu tikt bloķēti no modifikācijas vai dzēšanas.
Papildu līdzības ar BlackCat ietver darbības, lai noņemtu ēnu kopijas, atspējotu sistēmas atkopšanu, modificējot utilītu bcdedit, palielinātu MaxMpxCt vērtību, lai apstrādātu lielākus trafika apjomus (piemēram, SMB PsExec pieprasījumus), un notīrītu visus notikumu žurnālus, izmantojot utilītu wevtutil.
Cicada 3301 Ransomware ir paredzēts 35 dažādiem failu tipiem
Cicada3301 ir arī novērojis lokāli izvietoto virtuālo mašīnu (VM) apturēšanu, kā arī Megazord Ransomware un Yanluowang Ransomware iepriekš izmantoto darbību, kā arī dažādu dublēšanas un atkopšanas pakalpojumu pārtraukšanu, kā arī desmitiem procesu kodētu sarakstu.
Papildus iebūvēta izslēgto failu un direktoriju saraksta uzturēšanai šifrēšanas procesa laikā, izspiedējvīrusa mērķis ir kopumā 35 failu paplašinājumi - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png. , neapstrādāts, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm un txt.
Pētnieki ir arī atklājuši papildu rīkus, piemēram, EDRSandBlast, kas ievaino ievainojamu parakstīto draiveri, lai apietu EDR noteikšanu, un šo praksi agrāk izmantoja arī BlackByte Ransomware grupa.
Cicada 3301 Ransomware ģenerētajā izpirkuma piezīmē ir rakstīts:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
