Cicada 3301 Ransomware
Strokovnjaki za kibernetsko varnost so analizirali novo različico izsiljevalske programske opreme, imenovano Cicada 3301, ki ima enake lastnosti kot zdaj ukinjena operacija BlackCat (znana tudi kot ALPHV). Cicada 3301 cilja predvsem na mala in srednje velika podjetja (SMB), pri čemer izkorišča ranljivosti kot svojo prvotno dostopno točko prek oportunističnih napadov.
Ta izsiljevalska programska oprema, razvita v Rustu, je zasnovana za okužbo sistemov Windows in Linux/ESXi. Prvič so ga opazili junija 2024, ko je prek objave na podzemnem forumu RAMP začel zaposlovati podružnice za svojo platformo Ransomware-as-a-Service (RaaS). Ena od značilnih lastnosti izsiljevalske programske opreme je vdelava ogroženih uporabniških poverilnic v izvršljivo datoteko, ki se kasneje uporabijo za izvajanje PsExec, zakonitega orodja, ki omogoča oddaljeno izvajanje programa.
Cicada 3301 za zaklepanje datotek uporablja kriptografski algoritem ChaCha20, obliko simetričnega šifriranja. Imena šifriranih datotek so spremenjena z naključno ustvarjeno končnico s sedmimi znaki. Na primer, datoteka s prvotnim imenom '1.doc' se pretvori v '1.doc.f11a46a1.' Ko je šifriranje končano, izsiljevalska programska oprema pusti obvestilo o odkupnini v besedilni datoteki z imenom 'RESTORE-[file_extension]-DATA.txt.'
Kazalo
Zahteve napadalcev za izsiljevalsko programsko opremo Cicada 3301
Iz obvestila o odkupnini, ki ga je pustila Cicada 3301, je razvidno, da je izsiljevalska programska oprema namenjena podjetjem. Žrtev obvesti, da je bilo njeno omrežje ogroženo, datoteke šifrirane in varnostne kopije izbrisane. Poleg tega opozarja, da je bila iz omrežja ukradena znatna količina občutljivih podatkov.
Napadalci zahtevajo plačilo za orodje za dešifriranje in za izbris eksfiltriranih podatkov. Če te zahteve ne bodo izpolnjene, grozijo, da bodo ukradene podatke razkrili in obvestili regulativne organe ter stranke, partnerje in konkurente žrtve.
Kot dokaz, da je obnovitev datoteke mogoča, hekerji predlagajo brezplačno dešifriranje ene datoteke. Opomba tudi svari pred poskusi dešifriranja ali spreminjanja šifriranih datotek, saj bi to lahko povzročilo trajno izgubo podatkov.
Podobnosti s prejšnjimi grožnjami izsiljevalske programske opreme
Cicada3301 si deli več taktik z BlackCatom, vključno z uporabo šifriranja ChaCha20, ukaza sutil za ocenjevanje simbolnih povezav in šifriranje preusmerjenih datotek ter IISReset.exe za zaustavitev storitev IIS in šifriranje datotek, ki bi sicer lahko bile zaklenjene pred spreminjanjem ali brisanjem.
Dodatne podobnosti z BlackCat vključujejo dejanja za odstranjevanje senčnih kopij, onemogočanje obnovitve sistema s spreminjanjem pripomočka bcdedit, povečanje vrednosti MaxMpxCt za obdelavo večjih količin prometa (kot so zahteve SMB PsExec) in brisanje vseh dnevnikov dogodkov s pripomočkom wevtutil.
Cicada 3301 Ransomware cilja na 35 različnih vrst datotek
Cicada3301 je prav tako opazil zaustavitev lokalno razporejenih virtualnih strojev (VM), vedenje, ki sta ga prej sprejeli izsiljevalska programska oprema Megazord in izsiljevalska programska oprema Yanluowang , ter prekinitev različnih storitev varnostnega kopiranja in obnovitve ter trdo kodiranega seznama desetin procesov.
Poleg vzdrževanja vgrajenega seznama izključenih datotek in imenikov med postopkom šifriranja cilja izsiljevalska programska oprema na skupno 35 končnic datotek – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm in txt.
Raziskovalci so odkrili tudi dodatna orodja, kot je EDRSandBlast, ki oborožijo ranljive podpisane gonilnike, da zaobidejo zaznavanje EDR, prakso, ki jo je v preteklosti sprejela tudi skupina BlackByte Ransomware.
Opomba o odkupnini, ki jo je ustvarila izsiljevalska programska oprema Cicada 3301, se glasi:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
