Cicada 3301 Ransomware

Os especialistas em segurança cibernética analisaram uma nova variante de ransomware chamada Cicada 3301, que compartilha características com a operação BlackCat (também conhecida como ALPHV), agora descontinuada. O Cicada 3301 tem como alvo principal pequenas e médias empresas (PMEs), alavancando vulnerabilidades como seu ponto de acesso inicial por meio de ataques oportunistas.

Desenvolvido em Rust, esse ransomware foi projetado para infectar sistemas Windows e Linux/ESXi. Ele foi detectado pela primeira vez em junho de 2024, quando começou a recrutar afiliados para sua plataforma Ransomware-as-a-Service (RaaS) por meio de uma postagem no fórum underground RAMP. Uma das características distintivas do ransomware é a incorporação de credenciais de usuário comprometidas dentro do executável, que são posteriormente usadas para executar o PsExec, uma ferramenta legítima que permite a execução remota de programas.

O Cicada 3301 usa o algoritmo criptográfico ChaCha20, uma forma de criptografia simétrica, para bloquear arquivos. Arquivos criptografados têm seus nomes alterados com uma extensão de sete caracteres gerada aleatoriamente. Por exemplo, um arquivo originalmente chamado '1.doc' é transformado em '1.doc.f11a46a1.' Uma vez que a criptografia é feita, o ransomware deixa uma nota de resgate em um arquivo de texto chamado 'RESTORE-[file_extension]-DATA.txt.'

As Exigências dos Invasores por Trás do Cicada 3301 Ransomware

A nota de resgate deixada pelo Cicada 3301 deixa claro que o ransomware é projetado para atingir empresas. Ele informa à vítima que sua rede foi comprometida, arquivos criptografados e backups apagados. Além disso, ele avisa que uma quantidade significativa de dados confidenciais foi roubada da rede.

Os atacantes exigem pagamento pela ferramenta de descriptografia e pela exclusão dos dados exfiltrados. Se essas exigências não forem atendidas, eles ameaçam vazar as informações roubadas e notificar as autoridades regulatórias, bem como os clientes, parceiros e concorrentes da vítima.

Como demonstração de que a recuperação de arquivos é possível, os hackers propõem descriptografar um arquivo gratuitamente. A nota também alerta contra a tentativa de descriptografar ou alterar os arquivos criptografados, pois isso pode levar à perda permanente de dados.

Semelhanças com Ameaças de Ransomware Anteriores

O Cicada3301 compartilha várias táticas com o BlackCat, incluindo o uso da criptografia ChaCha20, o comando sutil para avaliar links simbólicos e criptografar arquivos redirecionados, e IISReset.exe para interromper serviços do IIS e criptografar arquivos que, de outra forma, poderiam ser bloqueados contra modificação ou exclusão.

Outras semelhanças com o BlackCat incluem ações para remover cópias de sombra, desabilitar a recuperação do sistema modificando o utilitário bcdedit, aumentar o valor MaxMpxCt para lidar com volumes maiores de tráfego (como solicitações SMB PsExec) e limpar todos os logs de eventos usando o utilitário wevtutil.

O Cicada 3301 Ransomware Tem como Alvo 35 Tipos de Arquivo Diferentes

O Cicada3301 também observou a interrupção de máquinas virtuais (VMs) implantadas localmente, um comportamento adotado anteriormente pelo Megazord Ransomware e pelo Yanluowang Ransomware, e o encerramento de vários serviços de backup e recuperação e uma lista codificada de dezenas de processos.

Além de manter uma lista interna de arquivos e diretórios excluídos durante o processo de criptografia, o ransomware tem como alvo um total de 35 extensões de arquivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm e txt.

Pesquisadores também descobriram ferramentas adicionais como o EDRSandBlast, que transformam um driver assinado vulnerável em uma arma para ignorar detecções de EDR, uma prática também adotada pelo grupo BlackByte Ransomware no passado.

A nota de resgate gerada pelo Cicada 3301 Ransomware diz:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'