Цицада 3301 Рансомваре
Стручњаци за сајбер безбедност анализирали су нову варијанту рансомваре-а под називом Цицада 3301, која дели особине са сада обустављеном операцијом БлацкЦат (такође познатом као АЛПХВ). Цицада 3301 првенствено циља на мала и средња предузећа (СМБс), користећи рањивости као своју почетну приступну тачку путем опортунистичких напада.
Развијен у Русту, овај рансомваре је дизајниран да зарази и Виндовс и Линук/ЕСКСи системе. Први пут је примећен у јуну 2024. године, када је почео да регрутује подружнице за своју платформу Рансомваре-ас-а-Сервице (РааС) путем објаве на РАМП ундергроунд форуму. Једна од карактеристичних карактеристика рансомваре-а је уграђивање компромитованих корисничких акредитива у извршни фајл, који се касније користе за извршавање ПсЕкец-а, легитимног алата који омогућава даљинско извршавање програма.
Цицада 3301 користи ЦхаЦха20 криптографски алгоритам, облик симетричне енкрипције, за закључавање датотека. Имена шифрованих датотека се мењају помоћу насумично генерисане екстензије од седам знакова. На пример, датотека првобитно названа „1.доц“ се трансформише у „1.доц.ф11а46а1“. Када се шифровање заврши, рансомваре оставља белешку о откупнини у текстуалној датотеци под називом „РЕСТОРЕ-[филе_ектенсион]-ДАТА.ткт“.
Преглед садржаја
Захтеви нападача који стоје иза Цицада 3301 Рансомваре-а
Порука о откупнини коју је оставио Цицада 3301 јасно показује да је рансомваре дизајниран да циља предузећа. Обавештава жртву да је њихова мрежа компромитована, датотеке шифроване, а резервне копије избрисане. Поред тога, упозорава да је значајна количина осетљивих података украдена са мреже.
Нападачи захтевају плаћање за алат за дешифровање и за брисање ексфилтрираних података. Уколико се ови захтеви не испуне, они прете да ће процурити украдене информације и обавестити регулаторне органе, као и купце, партнере и конкуренте жртве.
Као демонстрацију да је опоравак датотеке могућ, хакери предлажу дешифровање једне датотеке бесплатно. Напомена такође упозорава да не покушавате да дешифрујете или мењате шифроване датотеке, јер то може довести до трајног губитка података.
Сличности са претходним претњама рансомвера
Цицада3301 дели неколико тактика са БлацкЦат-ом, укључујући коришћење ЦхаЦха20 енкрипције, команду сутил за процену симболичких веза и шифровање преусмерених датотека и ИИСРесет.еке за заустављање ИИС услуга и шифровање датотека које би иначе могле бити закључане од модификације или брисања.
Додатне сличности са БлацкЦат-ом укључују радње за уклањање копија у сенци, онемогућавање опоравка система модификацијом услужног програма бцдедит, повећање вредности МакМпкЦт за руковање већим обимима саобраћаја (као што су СМБ ПсЕкец захтеви) и брисање свих евиденција догађаја помоћу услужног програма вевтутил.
Цицада 3301 Рансомваре циља 35 различитих типова датотека
Цицада3301 је такође приметио заустављање локално распоређених виртуелних машина (ВМ), понашање које су претходно усвојили Мегазорд Рансомваре и Ианлуованг Рансомваре , и укидање различитих услуга резервног копирања и опоравка и тврдо кодиране листе десетина процеса.
Осим што одржава уграђену листу изузетих датотека и директоријума током процеса шифровања, рансомваре циља укупно 35 екстензија датотека - скл, доц, ртф, клс, јпг, јпег, псд, доцм, клсм, одс, ппск, пнг , рав, дотк, клтк, пптк, ппсм, гиф, бмп, дотм, клтм, пптм, одп, вебп, пдф, одт, клсб, пток, мдф, тифф, доцк, клск, клам, потм и ткт.
Истраживачи су такође открили додатне алате као што је ЕДРСандБласт који користе рањиви потписани драјвер како би заобишли ЕДР детекције, праксу коју је такође усвојила група БлацкБите Рансомваре у прошлости.
Порука о откупнини коју је генерисао Цицада 3301 Рансомваре гласи:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
