ਸਿਕਾਡਾ 3301 ਰੈਨਸਮਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਸਿਕਾਡਾ 3301 ਨਾਮ ਦੇ ਇੱਕ ਨਵੇਂ ਰੈਨਸਮਵੇਅਰ ਰੂਪ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਹੈ, ਜੋ ਹੁਣ ਬੰਦ ਕੀਤੇ ਬਲੈਕਕੈਟ (ਜਿਸ ਨੂੰ ALPHV ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਓਪਰੇਸ਼ਨ ਨਾਲ ਗੁਣਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦਾ ਹੈ। ਸਿਕਾਡਾ 3301 ਮੁੱਖ ਤੌਰ 'ਤੇ ਛੋਟੇ ਤੋਂ ਦਰਮਿਆਨੇ ਆਕਾਰ ਦੇ ਕਾਰੋਬਾਰਾਂ (SMBs) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਮੌਕਾਪ੍ਰਸਤ ਹਮਲਿਆਂ ਦੁਆਰਾ ਇਸਦੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਬਿੰਦੂ ਵਜੋਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।
Rust ਵਿੱਚ ਵਿਕਸਤ, ਇਹ ਰੈਨਸਮਵੇਅਰ ਵਿੰਡੋਜ਼ ਅਤੇ ਲੀਨਕਸ/ESXi ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਪਹਿਲੀ ਵਾਰ ਜੂਨ 2024 ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੀ, ਜਦੋਂ ਇਸਨੇ RAMP ਭੂਮੀਗਤ ਫੋਰਮ 'ਤੇ ਇੱਕ ਪੋਸਟ ਰਾਹੀਂ ਆਪਣੇ Ransomware-as-a-Service (RaaS) ਪਲੇਟਫਾਰਮ ਲਈ ਸਹਿਯੋਗੀਆਂ ਦੀ ਭਰਤੀ ਸ਼ੁਰੂ ਕੀਤੀ ਸੀ। ਰੈਨਸਮਵੇਅਰ ਦੀਆਂ ਵੱਖ-ਵੱਖ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੇ ਅੰਦਰ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਏਮਬੈਡ ਕਰਨਾ ਹੈ, ਜੋ ਬਾਅਦ ਵਿੱਚ PsExec ਨੂੰ ਚਲਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਜਾਇਜ਼ ਟੂਲ ਜੋ ਰਿਮੋਟ ਪ੍ਰੋਗਰਾਮ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।
Cicada 3301 ਫਾਈਲਾਂ ਨੂੰ ਲਾਕ ਕਰਨ ਲਈ ChaCha20 ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਐਲਗੋਰਿਦਮ, ਸਮਮਿਤੀ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦਾ ਇੱਕ ਰੂਪ ਵਰਤਦਾ ਹੈ। ਏਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਦੇ ਨਾਮ ਬੇਤਰਤੀਬੇ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ ਸੱਤ-ਅੱਖਰਾਂ ਦੀ ਐਕਸਟੈਂਸ਼ਨ ਨਾਲ ਬਦਲ ਦਿੱਤੇ ਗਏ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਅਸਲ ਵਿੱਚ '1.doc' ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ '1.doc.f11a46a1' ਵਿੱਚ ਬਦਲ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਏਨਕ੍ਰਿਪਸ਼ਨ ਹੋ ਜਾਣ 'ਤੇ, ਰੈਨਸਮਵੇਅਰ 'RESTORE-[file_extension]-DATA.txt' ਨਾਮ ਦੀ ਇੱਕ ਟੈਕਸਟ ਫਾਈਲ ਵਿੱਚ ਇੱਕ ਰਿਹਾਈ ਦਾ ਨੋਟ ਛੱਡਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਿਕਾਡਾ 3301 ਰੈਨਸਮਵੇਅਰ ਦੇ ਪਿੱਛੇ ਹਮਲਾਵਰਾਂ ਦੀਆਂ ਮੰਗਾਂ
ਸਿਕਾਡਾ 3301 ਦੁਆਰਾ ਛੱਡਿਆ ਗਿਆ ਫਿਰੌਤੀ ਨੋਟ ਇਹ ਸਪੱਸ਼ਟ ਕਰਦਾ ਹੈ ਕਿ ਰੈਨਸਮਵੇਅਰ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਪੀੜਤ ਨੂੰ ਸੂਚਿਤ ਕਰਦਾ ਹੈ ਕਿ ਉਹਨਾਂ ਦੇ ਨੈਟਵਰਕ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ, ਫਾਈਲਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ, ਅਤੇ ਬੈਕਅੱਪ ਮਿਟਾ ਦਿੱਤੇ ਗਏ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਚੇਤਾਵਨੀ ਦਿੰਦਾ ਹੈ ਕਿ ਨੈਟਵਰਕ ਤੋਂ ਬਹੁਤ ਜ਼ਿਆਦਾ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਚੋਰੀ ਹੋ ਗਿਆ ਹੈ।
ਹਮਲਾਵਰ ਡੀਕ੍ਰਿਪਸ਼ਨ ਟੂਲ ਅਤੇ ਐਕਸਫਿਲਟਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਮਿਟਾਉਣ ਲਈ ਭੁਗਤਾਨ ਦੀ ਮੰਗ ਕਰਦੇ ਹਨ। ਜੇਕਰ ਇਹ ਮੰਗਾਂ ਪੂਰੀਆਂ ਨਹੀਂ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਤਾਂ ਉਹ ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਲੀਕ ਕਰਨ ਅਤੇ ਰੈਗੂਲੇਟਰੀ ਅਥਾਰਟੀਆਂ ਦੇ ਨਾਲ-ਨਾਲ ਪੀੜਤ ਦੇ ਗਾਹਕਾਂ, ਭਾਈਵਾਲਾਂ ਅਤੇ ਪ੍ਰਤੀਯੋਗੀਆਂ ਨੂੰ ਸੂਚਿਤ ਕਰਨ ਦੀ ਧਮਕੀ ਦਿੰਦੇ ਹਨ।
ਇੱਕ ਪ੍ਰਦਰਸ਼ਨ ਵਜੋਂ ਕਿ ਫਾਈਲ ਰਿਕਵਰੀ ਸੰਭਵ ਹੈ, ਹੈਕਰ ਇੱਕ ਫਾਈਲ ਨੂੰ ਮੁਫਤ ਵਿੱਚ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦਾ ਪ੍ਰਸਤਾਵ ਦਿੰਦੇ ਹਨ। ਨੋਟ ਇਨਕ੍ਰਿਪਟਡ ਫਾਈਲਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਜਾਂ ਬਦਲਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨ ਦੇ ਵਿਰੁੱਧ ਵੀ ਸਾਵਧਾਨ ਕਰਦਾ ਹੈ, ਕਿਉਂਕਿ ਅਜਿਹਾ ਕਰਨ ਨਾਲ ਸਥਾਈ ਡੇਟਾ ਦਾ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ।
ਪਿਛਲੀਆਂ ਰੈਨਸਮਵੇਅਰ ਧਮਕੀਆਂ ਨਾਲ ਸਮਾਨਤਾਵਾਂ
Cicada3301 ਬਲੈਕਕੈਟ ਨਾਲ ਕਈ ਰਣਨੀਤੀਆਂ ਸਾਂਝੀਆਂ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ChaCha20 ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ, ਸੰਕੇਤਕ ਲਿੰਕਾਂ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਲਈ ਸੂਟਿਲ ਕਮਾਂਡ ਅਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਅਤੇ IIS ਸੇਵਾਵਾਂ ਨੂੰ ਰੋਕਣ ਲਈ IISReset.exe ਅਤੇ ਉਹਨਾਂ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ ਜੋ ਸੋਧ ਜਾਂ ਮਿਟਾਉਣ ਤੋਂ ਲੌਕ ਹੋ ਸਕਦੀਆਂ ਹਨ।
ਬਲੈਕਕੈਟ ਦੀਆਂ ਵਧੀਕ ਸਮਾਨਤਾਵਾਂ ਵਿੱਚ ਸ਼ੈਡੋ ਕਾਪੀਆਂ ਨੂੰ ਹਟਾਉਣ ਦੀਆਂ ਕਾਰਵਾਈਆਂ, bcdedit ਉਪਯੋਗਤਾ ਨੂੰ ਸੋਧ ਕੇ ਸਿਸਟਮ ਰਿਕਵਰੀ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣਾ, ਵੱਡੇ ਟ੍ਰੈਫਿਕ ਵਾਲੀਅਮ (ਜਿਵੇਂ ਕਿ SMB PsExec ਬੇਨਤੀਆਂ) ਨੂੰ ਸੰਭਾਲਣ ਲਈ MaxMpxCt ਮੁੱਲ ਨੂੰ ਵਧਾਉਣਾ, ਅਤੇ wevtutil ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਾਰੇ ਇਵੈਂਟ ਲੌਗਾਂ ਨੂੰ ਪੂੰਝਣਾ ਸ਼ਾਮਲ ਹੈ।
ਸਿਕਾਡਾ 3301 ਰੈਨਸਮਵੇਅਰ 35 ਵੱਖ-ਵੱਖ ਫਾਈਲ ਕਿਸਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ
Cicada3301 ਨੇ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਤੈਨਾਤ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ (VMs) ਨੂੰ ਰੋਕਣਾ ਵੀ ਦੇਖਿਆ ਹੈ, ਇੱਕ ਵਿਵਹਾਰ ਜੋ ਪਹਿਲਾਂ Megazord Ransomware ਅਤੇ Yanluowang Ransomware ਦੁਆਰਾ ਅਪਣਾਇਆ ਗਿਆ ਸੀ, ਅਤੇ ਵੱਖ-ਵੱਖ ਬੈਕਅਪ ਅਤੇ ਰਿਕਵਰੀ ਸੇਵਾਵਾਂ ਅਤੇ ਦਰਜਨਾਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਇੱਕ ਹਾਰਡ-ਕੋਡਡ ਸੂਚੀ ਨੂੰ ਖਤਮ ਕਰਨਾ।
ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੇ ਦੌਰਾਨ ਬਾਹਰ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਇੱਕ ਬਿਲਟ-ਇਨ ਸੂਚੀ ਬਣਾਈ ਰੱਖਣ ਤੋਂ ਇਲਾਵਾ, ਰੈਨਸਮਵੇਅਰ ਕੁੱਲ 35 ਫਾਈਲ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, ਅਤੇ txt।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ EDRSandBlast ਵਰਗੇ ਵਾਧੂ ਸਾਧਨਾਂ ਦਾ ਵੀ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜੋ EDR ਖੋਜਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਇੱਕ ਕਮਜ਼ੋਰ ਹਸਤਾਖਰਿਤ ਡ੍ਰਾਈਵਰ ਨੂੰ ਹਥਿਆਰ ਬਣਾਉਂਦੇ ਹਨ, ਇੱਕ ਅਭਿਆਸ ਵੀ ਬਲੈਕਬਾਈਟ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਦੁਆਰਾ ਅਤੀਤ ਵਿੱਚ ਅਪਣਾਇਆ ਗਿਆ ਸੀ।
ਸਿਕਾਡਾ 3301 ਰੈਨਸਮਵੇਅਰ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਫਿਰੌਤੀ ਨੋਟ ਪੜ੍ਹਦਾ ਹੈ:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
