Cicade 3301 Ransomware
Cybersecurity-experts hebben een nieuwe ransomwarevariant geanalyseerd, genaamd Cicada 3301, die kenmerken deelt met de inmiddels stopgezette BlackCat -operatie (ook bekend als ALPHV). Cicada 3301 richt zich voornamelijk op kleine tot middelgrote bedrijven (MKB's) en maakt gebruik van kwetsbaarheden als eerste toegangspunt via opportunistische aanvallen.
Deze ransomware is ontwikkeld in Rust en is ontworpen om zowel Windows- als Linux/ESXi-systemen te infecteren. Het werd voor het eerst opgemerkt in juni 2024, toen het begon met het werven van affiliates voor zijn Ransomware-as-a-Service (RaaS)-platform via een bericht op het RAMP underground forum. Een van de onderscheidende kenmerken van de ransomware is het inbedden van gecompromitteerde gebruikersreferenties in het uitvoerbare bestand, die later worden gebruikt om PsExec uit te voeren, een legitieme tool die uitvoering van programma's op afstand mogelijk maakt.
De Cicada 3301 gebruikt het ChaCha20 cryptografische algoritme, een vorm van symmetrische encryptie, om bestanden te vergrendelen. De namen van versleutelde bestanden worden gewijzigd met een willekeurig gegenereerde extensie van zeven tekens. Bijvoorbeeld, een bestand dat oorspronkelijk '1.doc' heette, wordt getransformeerd naar '1.doc.f11a46a1.' Zodra de encryptie is voltooid, laat de ransomware een losgeldbrief achter in een tekstbestand met de naam 'RESTORE-[file_extension]-DATA.txt.'
Inhoudsopgave
De eisen van de aanvallers achter de Cicada 3301-ransomware
De losgeldbrief die Cicada 3301 achterliet, maakt duidelijk dat de ransomware is ontworpen om bedrijven te targeten. Het informeert het slachtoffer dat hun netwerk is gecompromitteerd, bestanden zijn versleuteld en back-ups zijn gewist. Daarnaast waarschuwt het dat een aanzienlijke hoeveelheid gevoelige gegevens is gestolen van het netwerk.
De aanvallers eisen betaling voor de decryptietool en voor het verwijderen van de geëxfiltreerde data. Als aan deze eisen niet wordt voldaan, dreigen ze de gestolen informatie te lekken en de regelgevende instanties, evenals de klanten, partners en concurrenten van het slachtoffer, op de hoogte te stellen.
Als demonstratie dat bestandsherstel mogelijk is, stellen de hackers voor om één bestand gratis te decoderen. De notitie waarschuwt ook tegen pogingen om de gecodeerde bestanden te decoderen of te wijzigen, omdat dit kan leiden tot permanent gegevensverlies.
Overeenkomsten met eerdere ransomware-bedreigingen
Cicada3301 deelt verschillende tactieken met BlackCat, waaronder het gebruik van ChaCha20-codering, de sutil-opdracht om symbolische links te beoordelen en omgeleide bestanden te coderen, en IISReset.exe om IIS-services te stoppen en bestanden te coderen die anders mogelijk niet kunnen worden gewijzigd of verwijderd.
Andere overeenkomsten met BlackCat zijn onder meer acties om schaduwkopieën te verwijderen, systeemherstel uit te schakelen door het hulpprogramma bcdedit aan te passen, de MaxMpxCt-waarde te verhogen om grotere volumes aan verkeer (zoals SMB PsExec-aanvragen) te verwerken en alle gebeurtenislogboeken te wissen met het hulpprogramma wevtutil.
De Cicada 3301-ransomware richt zich op 35 verschillende bestandstypen
De Cicada3301 heeft ook waargenomen dat lokaal geïmplementeerde virtuele machines (VM's) worden gestopt, een gedrag dat eerder werd toegepast door de Megazord Ransomware en de Yanluowang Ransomware . Ook werden verschillende back-up- en herstelservices en een hardgecodeerde lijst met tientallen processen beëindigd.
Naast het bijhouden van een ingebouwde lijst met uitgesloten bestanden en mappen tijdens het encryptieproces, richt de ransomware zich op in totaal 35 bestandsextensies: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm en txt.
Onderzoekers hebben ook aanvullende tools ontdekt, zoals EDRSandBlast, die een kwetsbare, ondertekende driver als wapen inzetten om EDR-detecties te omzeilen. Deze praktijk werd in het verleden ook toegepast door de BlackByte Ransomware-groep.
De losgeldbrief die door de Cicada 3301 Ransomware is gegenereerd, luidt:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
