Cicada 3301 Ransomware
Ekspertët e sigurisë kibernetike kanë analizuar një variant të ri ransomware të quajtur Cicada 3301, i cili ndan tipare me operacionin tashmë të ndërprerë BlackCat (i njohur edhe si ALPHV). Cicada 3301 synon kryesisht bizneset e vogla dhe të mesme (SMB), duke shfrytëzuar dobësitë si pikën fillestare të hyrjes përmes sulmeve oportuniste.
I zhvilluar në Rust, ky ransomware është krijuar për të infektuar të dy sistemet Windows dhe Linux/ESXi. Ai u vu re për herë të parë në qershor 2024, kur filloi të rekrutonte bashkëpunëtorë për platformën e tij Ransomware-as-a-Service (RaaS) përmes një postimi në forumin nëntokësor RAMP. Një nga veçoritë dalluese të ransomware është futja e tij e kredencialeve të përdoruesve të komprometuar brenda ekzekutivit, të cilat më vonë përdoren për të ekzekutuar PsExec, një mjet legjitim që mundëson ekzekutimin e programit në distancë.
Cicada 3301 përdor algoritmin kriptografik ChaCha20, një formë e enkriptimit simetrik, për të kyçur skedarët. Skedarët e koduar kanë emrat e tyre të ndryshuar me një shtesë prej shtatë karakteresh të krijuar rastësisht. Për shembull, një skedar i quajtur fillimisht '1.doc' transformohet në '1.doc.f11a46a1.' Pasi kriptimi të kryhet, ransomware lë një shënim shpërblesëje në një skedar teksti të quajtur 'RESTORE-[file_extension]-DATA.txt.'
Tabela e Përmbajtjes
Kërkesat e Sulmuesve pas Ransomware Cicada 3301
Shënimi i shpërblesës i lënë nga Cicada 3301 e bën të qartë se ransomware është krijuar për të synuar bizneset. Ai informon viktimën se rrjeti i tyre është komprometuar, skedarët janë të koduar dhe kopjet rezervë janë fshirë. Për më tepër, ai paralajmëron se një sasi e konsiderueshme e të dhënave të ndjeshme janë vjedhur nga rrjeti.
Sulmuesit kërkojnë pagesë për mjetin e deshifrimit dhe për fshirjen e të dhënave të ekfiltruara. Nëse këto kërkesa nuk plotësohen, ata kërcënojnë të nxjerrin informacionin e vjedhur dhe të njoftojnë autoritetet rregullatore, si dhe klientët, partnerët dhe konkurrentët e viktimës.
Si një demonstrim se rikuperimi i skedarëve është i mundur, hakerët propozojnë të deshifrojnë një skedar falas. Shënimi paralajmëron gjithashtu kundër përpjekjes për të deshifruar ose ndryshuar skedarët e koduar, pasi një veprim i tillë mund të çojë në humbje të përhershme të të dhënave.
Ngjashmëritë me Kërcënimet e mëparshme Ransomware
Cicada3301 ndan disa taktika me BlackCat, duke përfshirë përdorimin e kriptimit ChaCha20, komandën sutil për të vlerësuar lidhjet simbolike dhe enkriptimin e skedarëve të ridrejtuar, dhe IISReset.exe për të ndalur shërbimet IIS dhe për të enkriptuar skedarët që përndryshe mund të bllokohen nga modifikimi ose fshirja.
Ngjashmëritë shtesë me BlackCat përfshijnë veprime për të hequr kopjet e hijes, çaktivizimin e rimëkëmbjes së sistemit duke modifikuar programin bcdedit, rritjen e vlerës MaxMpxCt për të trajtuar vëllime më të mëdha trafiku (si kërkesat e SMB PsExec) dhe fshirjen e të gjitha regjistrave të ngjarjeve duke përdorur mjetin wevtutil.
Ransomware Cicada 3301 synon 35 lloje të ndryshme skedarësh
Cicada3301 ka vërejtur gjithashtu ndalimin e makinave virtuale të vendosura në nivel lokal (VM), një sjellje e adoptuar më parë nga Megazord Ransomware dhe Yanluowang Ransomware , dhe përfundimin e shërbimeve të ndryshme rezervë dhe rikuperimi dhe një listë të koduar me dhjetëra procese.
Përveç mbajtjes së një liste të integruar të skedarëve dhe drejtorive të përjashtuara gjatë procesit të enkriptimit, ransomware synon gjithsej 35 shtesa skedarësh - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm dhe txt.
Studiuesit kanë zbuluar gjithashtu mjete shtesë si EDRSandBlast që armatizojnë një drejtues të pambrojtur të nënshkruar për të anashkaluar zbulimet EDR, një praktikë e adoptuar gjithashtu nga grupi BlackByte Ransomware në të kaluarën.
Shënimi i shpërblesës i krijuar nga Cicada 3301 Ransomware thotë:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
