Cicada 3301 Ransomware
Experții în securitate cibernetică au analizat o nouă variantă de ransomware numită Cicada 3301, care împărtășește trăsături cu operațiunea BlackCat (cunoscută și sub numele de ALPHV). Cicada 3301 vizează în primul rând întreprinderile mici și mijlocii (IMM-uri), valorificând vulnerabilitățile ca punct de acces inițial prin atacuri oportuniste.
Dezvoltat în Rust, acest ransomware este conceput pentru a infecta atât sistemele Windows, cât și Linux/ESXi. A fost observat pentru prima dată în iunie 2024, când a început să recruteze afiliați pentru platforma sa Ransomware-as-a-Service (RaaS) printr-o postare pe forumul subteran RAMP. Una dintre caracteristicile distinctive ale ransomware-ului este încorporarea acreditărilor de utilizator compromise în executabil, care sunt ulterior folosite pentru a executa PsExec, un instrument legitim care permite executarea programului de la distanță.
Cicada 3301 folosește algoritmul criptografic ChaCha20, o formă de criptare simetrică, pentru a bloca fișierele. Fișierele criptate au numele modificate cu o extensie de șapte caractere generată aleatoriu. De exemplu, un fișier inițial numit „1.doc” este transformat în „1.doc.f11a46a1”. Odată ce criptarea este finalizată, ransomware-ul lasă o notă de răscumpărare într-un fișier text numit „RESTORE-[file_extension]-DATA.txt”.
Cuprins
Cererile atacatorilor din spatele ransomware-ului Cicada 3301
Nota de răscumpărare lăsată de Cicada 3301 arată clar că ransomware-ul este conceput pentru a ținta companiile. Acesta informează victima că rețeaua lor a fost compromisă, fișierele criptate și copiile de siguranță șterse. În plus, avertizează că o cantitate semnificativă de date sensibile a fost furată din rețea.
Atacatorii cer plata pentru instrumentul de decriptare și pentru ștergerea datelor exfiltrate. Dacă aceste cerințe nu sunt îndeplinite, aceștia amenință că vor divulga informațiile furate și vor anunța autoritățile de reglementare, precum și clienții, partenerii și concurenții victimei.
Ca o demonstrație a faptului că recuperarea fișierelor este posibilă, hackerii propun să decripteze un fișier gratuit. Nota avertizează, de asemenea, împotriva încercării de a decripta sau a modifica fișierele criptate, deoarece acest lucru ar putea duce la pierderea permanentă a datelor.
Asemănări cu amenințările anterioare de ransomware
Cicada3301 împărtășește mai multe tactici cu BlackCat, inclusiv utilizarea criptării ChaCha20, comanda sutil pentru a evalua legăturile simbolice și a cripta fișierele redirecționate și IISReset.exe pentru a opri serviciile IIS și a cripta fișierele care altfel ar putea fi blocate de la modificare sau ștergere.
Asemănările suplimentare cu BlackCat includ acțiuni de eliminare a copiilor umbre, dezactivarea recuperării sistemului prin modificarea utilitarului bcdedit, creșterea valorii MaxMpxCt pentru a gestiona volume mai mari de trafic (cum ar fi cererile SMB PsExec) și ștergerea tuturor jurnalelor de evenimente folosind utilitarul wevtutil.
Cicada 3301 Ransomware vizează 35 de tipuri de fișiere diferite
Cicada3301 a observat, de asemenea, oprirea mașinilor virtuale (VM-uri) implementate local, un comportament adoptat anterior de Megazord Ransomware și Yanluowang Ransomware , și întreruperea diferitelor servicii de backup și recuperare și a unei liste codificate de zeci de procese.
Pe lângă menținerea unei liste încorporate de fișiere și directoare excluse în timpul procesului de criptare, ransomware-ul vizează un total de 35 de extensii de fișiere - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , brut, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm și txt.
Cercetătorii au descoperit, de asemenea, instrumente suplimentare, cum ar fi EDRSandBlast, care armonizează un driver semnat vulnerabil pentru a ocoli detectările EDR, o practică adoptată și de grupul BlackByte Ransomware în trecut.
Nota de răscumpărare generată de Cicada 3301 Ransomware spune:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
