Cicada 3301 вирус-вымогатель
Эксперты по кибербезопасности проанализировали новый вариант вируса-вымогателя под названием Cicada 3301, который имеет общие черты с ныне прекращенной операцией BlackCat (также известной как ALPHV). Cicada 3301 в первую очередь нацелен на малый и средний бизнес (SMB), используя уязвимости в качестве начальной точки доступа посредством оппортунистических атак.
Разработанный на Rust, этот вирус-вымогатель предназначен для заражения как систем Windows, так и Linux/ESXi. Впервые он был замечен в июне 2024 года, когда он начал вербовать партнеров для своей платформы Ransomware-as-a-Service (RaaS) через пост на подпольном форуме RAMP. Одной из отличительных особенностей вируса-вымогателя является внедрение скомпрометированных учетных данных пользователя в исполняемый файл, которые впоследствии используются для запуска PsExec, легитимного инструмента, который позволяет удаленно выполнять программы.
Cicada 3301 использует криптографический алгоритм ChaCha20, форму симметричного шифрования, для блокировки файлов. Зашифрованные файлы имеют измененные имена с помощью случайно сгенерированного расширения из семи символов. Например, файл с исходным именем «1.doc» преобразуется в «1.doc.f11a46a1». После завершения шифрования программа-вымогатель оставляет записку с требованием выкупа в текстовом файле с именем «RESTORE-[file_extension]-DATA.txt».
Оглавление
Требования злоумышленников, стоящих за вирусом-вымогателем Cicada 3301
Записка с требованием выкупа, оставленная Cicada 3301, ясно показывает, что программа-вымогатель предназначена для предприятий. Она информирует жертву о том, что ее сеть была скомпрометирована, файлы зашифрованы, а резервные копии стерты. Кроме того, она предупреждает, что из сети был украден значительный объем конфиденциальных данных.
Злоумышленники требуют оплату за инструмент дешифрования и удаление извлеченных данных. Если эти требования не будут выполнены, они угрожают утечкой украденной информации и уведомляют регулирующие органы, а также клиентов, партнеров и конкурентов жертвы.
В качестве демонстрации возможности восстановления файлов хакеры предлагают бесплатно расшифровать один файл. В заметке также предостерегают от попыток расшифровать или изменить зашифрованные файлы, поскольку это может привести к постоянной потере данных.
Сходства с предыдущими угрозами программ-вымогателей
Cicada3301 использует несколько общих тактик с BlackCat, включая использование шифрования ChaCha20, команду sutil для оценки символических ссылок и шифрования перенаправленных файлов, а также IISReset.exe для остановки служб IIS и шифрования файлов, которые в противном случае могли бы быть заблокированы от изменения или удаления.
Дополнительные сходства с BlackCat включают действия по удалению теневых копий, отключение восстановления системы путем изменения утилиты bcdedit, увеличение значения MaxMpxCt для обработки больших объемов трафика (например, запросов SMB PsExec) и очистку всех журналов событий с помощью утилиты wevtutil.
Вирус-вымогатель Cicada 3301 атакует 35 различных типов файлов
Cicada3301 также наблюдал остановку локально развернутых виртуальных машин (ВМ), поведение, ранее применявшееся программами-вымогателями Megazord и Yanluowang , а также завершение работы различных служб резервного копирования и восстановления, а также жестко заданного списка из десятков процессов.
Помимо ведения встроенного списка исключенных файлов и каталогов во время процесса шифрования, программа-вымогатель атакует в общей сложности 35 расширений файлов: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm и txt.
Исследователи также обнаружили дополнительные инструменты, такие как EDRSandBlast, которые используют уязвимый подписанный драйвер в качестве оружия для обхода обнаружения EDR, что в прошлом также применялось группой BlackByte Ransomware.
Записка с требованием выкупа, созданная вирусом-вымогателем Cicada 3301, гласит:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
