Cicada 3301 Ransomware

Eksperci ds. cyberbezpieczeństwa przeanalizowali nową odmianę ransomware o nazwie Cicada 3301, która ma cechy wspólne z obecnie wycofaną operacją BlackCat (znaną również jako ALPHV). Cicada 3301 atakuje przede wszystkim małe i średnie przedsiębiorstwa (MŚP), wykorzystując luki w zabezpieczeniach jako początkowy punkt dostępu poprzez ataki oportunistyczne.

Opracowany w Rust, ten ransomware jest przeznaczony do infekowania systemów Windows i Linux/ESXi. Po raz pierwszy został zauważony w czerwcu 2024 r., kiedy rozpoczął rekrutację partnerów do swojej platformy Ransomware-as-a-Service (RaaS) za pośrednictwem posta na podziemnym forum RAMP. Jedną z wyróżniających cech ransomware jest osadzanie w pliku wykonywalnym naruszonych danych uwierzytelniających użytkownika, które są później wykorzystywane do wykonywania PsExec, legalnego narzędzia umożliwiającego zdalne wykonywanie programów.

Cicada 3301 używa algorytmu kryptograficznego ChaCha20, formy szyfrowania symetrycznego, do blokowania plików. Nazwy zaszyfrowanych plików są zmieniane losowo generowanym siedmioznakowym rozszerzeniem. Na przykład plik pierwotnie nazwany „1.doc” jest przekształcany na „1.doc.f11a46a1”. Po zakończeniu szyfrowania ransomware pozostawia notatkę z żądaniem okupu w pliku tekstowym o nazwie „RESTORE-[file_extension]-DATA.txt”.

Żądania atakujących stojących za ransomware Cicada 3301

Notatka o okupie pozostawiona przez Cicada 3301 jasno pokazuje, że ransomware jest przeznaczony do atakowania firm. Informuje ofiarę, że jej sieć została naruszona, pliki zaszyfrowane, a kopie zapasowe usunięte. Ponadto ostrzega, że znaczna ilość poufnych danych została skradziona z sieci.

Atakujący żądają zapłaty za narzędzie deszyfrujące i za usunięcie wykradzionych danych. Jeśli żądania te nie zostaną spełnione, grożą ujawnieniem skradzionych informacji i powiadomieniem organów regulacyjnych, a także klientów, partnerów i konkurentów ofiary.

Jako dowód, że odzyskiwanie plików jest możliwe, hakerzy proponują odszyfrowanie jednego pliku za darmo. Notatka ostrzega również przed próbami odszyfrowania lub zmiany zaszyfrowanych plików, ponieważ może to doprowadzić do trwałej utraty danych.

Podobieństwa do poprzednich zagrożeń typu ransomware

Cicada3301 dzieli z BlackCat kilka taktyk, w tym wykorzystanie szyfrowania ChaCha20, polecenia sutil do oceny łączy symbolicznych i szyfrowania przekierowanych plików oraz IISReset.exe do zatrzymywania usług IIS i szyfrowania plików, które w przeciwnym razie mogłyby zostać zablokowane przed modyfikacją lub usunięciem.

Dodatkowe podobieństwa do BlackCat obejmują działania polegające na usuwaniu kopii w tle, wyłączaniu odzyskiwania systemu poprzez modyfikację narzędzia bcdedit, zwiększaniu wartości MaxMpxCt w celu obsługi większych wolumenów ruchu (takich jak żądania SMB PsExec) oraz czyszczeniu wszystkich dzienników zdarzeń za pomocą narzędzia wevtutil.

Ransomware Cicada 3301 atakuje 35 różnych typów plików

Cicada3301 zaobserwował również zatrzymanie lokalnie wdrożonych maszyn wirtualnych (VM), co wcześniej zostało przyjęte przez ransomware Megazord i Yanluowang , a także zakończenie działania różnych usług tworzenia kopii zapasowych i odzyskiwania, a także zakodowanej listy kilkudziesięciu procesów.

Oprócz utrzymywania wbudowanej listy wykluczonych plików i katalogów podczas procesu szyfrowania, ransomware atakuje łącznie 35 rozszerzeń plików: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm i txt.

Badacze odkryli również dodatkowe narzędzia, takie jak EDRSandBlast, które wykorzystują podatny na ataki podpisany sterownik, aby ominąć wykrycia EDR. Praktykę tę w przeszłości stosowała również grupa BlackByte Ransomware.

Treść listu z żądaniem okupu wygenerowanego przez ransomware Cicada 3301 brzmi następująco:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'