Cicada 3301 løsepengevare
Eksperter på nettsikkerhet har analysert en ny løsepengevarevariant kalt Cicada 3301, som deler egenskaper med den nå avviklede BlackCat- operasjonen (også kjent som ALPHV). Cicada 3301 retter seg først og fremst mot små til mellomstore bedrifter (SMB), og utnytter sårbarheter som sitt første tilgangspunkt gjennom opportunistiske angrep.
Utviklet i Rust, er denne løsepengevaren designet for å infisere både Windows og Linux/ESXi-systemer. Den ble først oppdaget i juni 2024, da den begynte å rekruttere tilknyttede selskaper til Ransomware-as-a-Service (RaaS)-plattformen gjennom et innlegg på RAMP undergrunnsforum. En av løsepengevarens kjennetegn er dens innebygging av kompromitterte brukerlegitimasjoner i den kjørbare filen, som senere brukes til å kjøre PsExec, et legitimt verktøy som muliggjør ekstern kjøring av programmer.
Cicada 3301 bruker ChaCha20 kryptografisk algoritme, en form for symmetrisk kryptering, for å låse filer. Krypterte filer har endret navn med en tilfeldig generert utvidelse på syv tegn. For eksempel blir en fil opprinnelig kalt '1.doc' transformert til '1.doc.f11a46a1.' Når krypteringen er fullført, legger løsepengeprogramvaren igjen en løsepengenotat i en tekstfil med navnet 'RESTORE-[file_extension]-DATA.txt.'
Innholdsfortegnelse
Kravene til angriperne bak Cicada 3301 Ransomware
Løseseddelen etterlatt av Cicada 3301 gjør det klart at løsepengevaren er designet for å målrette mot bedrifter. Den informerer offeret om at nettverket deres har blitt kompromittert, filer kryptert og sikkerhetskopier slettet. I tillegg advarer den om at en betydelig mengde sensitive data har blitt stjålet fra nettverket.
Angriperne krever betaling for dekrypteringsverktøyet og for sletting av de eksfiltrerte dataene. Hvis disse kravene ikke oppfylles, truer de med å lekke den stjålne informasjonen og varsle tilsynsmyndighetene, samt offerets kunder, samarbeidspartnere og konkurrenter.
Som en demonstrasjon av at filgjenoppretting er mulig, foreslår hackerne å dekryptere én fil gratis. Notatet advarer også mot forsøk på å dekryptere eller endre de krypterte filene, da dette kan føre til permanent tap av data.
Likheter med tidligere ransomware-trusler
Cicada3301 deler flere taktikker med BlackCat, inkludert bruken av ChaCha20-kryptering, sutil-kommandoen for å vurdere symbolske lenker og kryptere omdirigerte filer, og IISReset.exe for å stoppe IIS-tjenester og kryptere filer som ellers kan være låst fra modifikasjon eller sletting.
Ytterligere likheter med BlackCat inkluderer handlinger for å fjerne skyggekopier, deaktivere systemgjenoppretting ved å modifisere bcdedit-verktøyet, øke MaxMpxCt-verdien for å håndtere større trafikkvolumer (som SMB PsExec-forespørsler), og slette alle hendelseslogger ved å bruke wevtutil-verktøyet.
Cicada 3301 Ransomware retter seg mot 35 forskjellige filtyper
Cicada3301 har også observert å stoppe lokalt distribuerte virtuelle maskiner (VM), en oppførsel som tidligere ble tatt i bruk av Megazord Ransomware og Yanluowang Ransomware , og avslutte ulike sikkerhetskopierings- og gjenopprettingstjenester og en hardkodet liste over dusinvis av prosesser.
Foruten å opprettholde en innebygd liste over ekskluderte filer og kataloger under krypteringsprosessen, retter løsepengevaren seg mot totalt 35 filutvidelser - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , rå, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm og txt.
Forskere har også avdekket tilleggsverktøy som EDRSandBlast som bevæpner en sårbar signert driver for å omgå EDR-deteksjoner, en praksis som også ble tatt i bruk av BlackByte Ransomware-gruppen tidligere.
Løsepengeseddelen generert av Cicada 3301 Ransomware lyder:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
