Cicada 3301 Ransomware
Odborníci na kybernetickú bezpečnosť analyzovali nový variant ransomvéru s názvom Cicada 3301, ktorý zdieľa vlastnosti s už ukončenou operáciou BlackCat (známa aj ako ALPHV). Cicada 3301 sa primárne zameriava na malé a stredné podniky (SMB), pričom využíva slabé miesta ako svoj počiatočný prístupový bod prostredníctvom oportunistických útokov.
Tento ransomvér vyvinutý v Ruste je navrhnutý tak, aby infikoval systémy Windows aj Linux/ESXi. Prvýkrát bol zaznamenaný v júni 2024, keď začal nábor pridružených spoločností pre svoju platformu Ransomware-as-a-Service (RaaS) prostredníctvom príspevku na podzemnom fóre RAMP. Jednou z charakteristických vlastností ransomvéru je jeho vloženie kompromitovaných používateľských poverení do spustiteľného súboru, ktoré sa neskôr použijú na spustenie PsExec, legitímneho nástroja, ktorý umožňuje vzdialené spustenie programu.
Cicada 3301 používa na uzamknutie súborov kryptografický algoritmus ChaCha20, formu symetrického šifrovania. Šifrované súbory majú svoje názvy zmenené náhodne vygenerovanou sedemznakovou príponou. Napríklad súbor pôvodne s názvom „1.doc“ sa transformuje na „1.doc.f11a46a1“. Po dokončení šifrovania ransomvér zanechá výkupné v textovom súbore s názvom 'RESTORE-[file_extension]-DATA.txt.'
Obsah
Požiadavky útočníkov za Cicada 3301 Ransomware
Poznámka o výkupnom, ktorú zanechala Cicada 3301, objasňuje, že ransomvér je určený na zacielenie na podniky. Informuje obeť, že jej sieť bola ohrozená, súbory boli zašifrované a zálohy boli vymazané. Okrem toho varuje, že zo siete bolo ukradnuté značné množstvo citlivých údajov.
Útočníci požadujú platbu za dešifrovací nástroj a vymazanie exfiltrovaných dát. Ak tieto požiadavky nie sú splnené, hrozí únikom ukradnutých informácií a informovaním regulačných orgánov, ako aj zákazníkov, partnerov a konkurentov obete.
Ako demonštráciu, že obnovenie súborov je možné, hackeri navrhujú dešifrovať jeden súbor zadarmo. Poznámka tiež varuje pred pokusmi o dešifrovanie alebo zmenu zašifrovaných súborov, pretože by to mohlo viesť k trvalej strate údajov.
Podobnosti s predchádzajúcimi hrozbami ransomvéru
Cicada3301 zdieľa niekoľko taktík s BlackCat, vrátane použitia šifrovania ChaCha20, príkazu sutil na vyhodnotenie symbolických odkazov a šifrovania presmerovaných súborov a IISReset.exe na zastavenie služieb IIS a šifrovanie súborov, ktoré by inak mohli byť zablokované pred úpravou alebo odstránením.
Ďalšie podobnosti s BlackCat zahŕňajú akcie na odstránenie tieňových kópií, zakázanie obnovy systému úpravou pomôcky bcdedit, zvýšenie hodnoty MaxMpxCt na spracovanie väčších objemov prenosu (ako sú požiadavky SMB PsExec) a vymazanie všetkých protokolov udalostí pomocou pomôcky wevtutil.
Cicada 3301 Ransomware sa zameriava na 35 rôznych typov súborov
Cicada3301 tiež pozoroval zastavenie lokálne nasadených virtuálnych strojov (VM), čo je správanie, ktoré predtým prijali Megazord Ransomware a Yanluowang Ransomware , a ukončenie rôznych zálohovacích a obnovovacích služieb a pevne zakódovaného zoznamu desiatok procesov.
Okrem udržiavania vstavaného zoznamu vylúčených súborov a adresárov počas procesu šifrovania sa ransomvér zameriava na celkovo 35 prípon súborov – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm a txt.
Výskumníci tiež odhalili ďalšie nástroje ako EDRSandBlast, ktoré vyzbrojujú zraniteľný podpísaný ovládač, aby obišli detekcie EDR, čo je prax, ktorú v minulosti prijala aj skupina BlackByte Ransomware.
Výkupné vygenerované Cicada 3301 Ransomware znie:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
