Cicada 3301 Ransomware

Pakar keselamatan siber telah menganalisis varian perisian tebusan baharu bernama Cicada 3301, yang berkongsi ciri dengan operasi BlackCat (juga dikenali sebagai ALPHV) yang kini dihentikan. Cicada 3301 terutamanya menyasarkan perniagaan kecil hingga sederhana (PKS), memanfaatkan kelemahan sebagai titik akses awalnya melalui serangan oportunistik.

Dibangunkan dalam Rust, perisian tebusan ini direka untuk menjangkiti kedua-dua sistem Windows dan Linux/ESXi. Ia pertama kali dikesan pada Jun 2024, apabila ia mula merekrut ahli gabungan untuk platform Ransomware-as-a-Service (RaaS) melalui siaran di forum bawah tanah RAMP. Salah satu ciri membezakan perisian tebusan ialah pembenaman kelayakan pengguna yang terjejas dalam executable, yang kemudiannya digunakan untuk melaksanakan PsExec, alat yang sah yang membolehkan pelaksanaan program jauh.

Cicada 3301 menggunakan algoritma kriptografi ChaCha20, satu bentuk penyulitan simetri, untuk mengunci fail. Nama fail yang disulitkan telah diubah dengan sambungan tujuh aksara yang dijana secara rawak. Sebagai contoh, fail yang asalnya bernama '1.doc' diubah menjadi '1.doc.f11a46a1.' Setelah penyulitan selesai, perisian tebusan meninggalkan nota tebusan dalam fail teks bernama 'RESTORE-[file_extension]-DATA.txt.'

Tuntutan Penyerang di sebalik Perisian Tebusan Cicada 3301

Nota tebusan yang ditinggalkan oleh Cicada 3301 menjelaskan bahawa perisian tebusan direka untuk menyasarkan perniagaan. Ia memberitahu mangsa bahawa rangkaian mereka telah terjejas, fail disulitkan dan sandaran dipadamkan. Selain itu, ia memberi amaran bahawa sejumlah besar data sensitif telah dicuri daripada rangkaian.

Penyerang menuntut bayaran untuk alat penyahsulitan dan untuk pemadaman data exfiltrated. Jika tuntutan ini tidak dipenuhi, mereka mengancam untuk membocorkan maklumat yang dicuri dan memaklumkan pihak berkuasa kawal selia, serta pelanggan, rakan kongsi dan pesaing mangsa.

Sebagai demonstrasi bahawa pemulihan fail adalah mungkin, penggodam mencadangkan untuk menyahsulit satu fail secara percuma. Nota itu juga memberi amaran terhadap percubaan untuk menyahsulit atau mengubah fail yang disulitkan, kerana berbuat demikian boleh menyebabkan kehilangan data kekal.

Persamaan dengan Ancaman Ransomware Sebelumnya

Cicada3301 berkongsi beberapa taktik dengan BlackCat, termasuk penggunaan penyulitan ChaCha20, arahan sutil untuk menilai pautan simbolik dan menyulitkan fail diubah hala, dan IISReset.exe untuk menghentikan perkhidmatan IIS dan menyulitkan fail yang mungkin dikunci daripada pengubahsuaian atau pemadaman.

Persamaan tambahan dengan BlackCat termasuk tindakan untuk mengalih keluar salinan bayangan, melumpuhkan pemulihan sistem dengan mengubah suai utiliti bcdedit, meningkatkan nilai MaxMpxCt untuk mengendalikan volum trafik yang lebih besar (seperti permintaan SMB PsExec), dan padam semua log peristiwa menggunakan utiliti wevtutil.

Ransomware Cicada 3301 Mensasarkan 35 Jenis Fail Berbeza

Cicada3301 juga telah memerhatikan menghentikan mesin maya (VM) yang digunakan secara tempatan, tingkah laku yang sebelum ini diterima pakai oleh Megazord Ransomware dan Yanluowang Ransomware , dan menamatkan pelbagai perkhidmatan sandaran dan pemulihan serta senarai berkod keras bagi berpuluh-puluh proses.

Selain mengekalkan senarai terbina dalam fail dan direktori yang dikecualikan semasa proses penyulitan, perisian tebusan menyasarkan sejumlah 35 sambungan fail - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , mentah, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm dan txt.

Penyelidik juga telah menemui alat tambahan seperti EDRSandBlast yang mempersenjatai pemandu yang ditandatangani yang terdedah untuk memintas pengesanan EDR, amalan yang juga diterima pakai oleh kumpulan BlackByte Ransomware pada masa lalu.

Nota tebusan yang dihasilkan oleh Cicada 3301 Ransomware berbunyi:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'