Cicada 3301 Ransomware
Cybersäkerhetsexperter har analyserat en ny ransomware-variant som heter Cicada 3301, som delar egenskaper med den nu avvecklade BlackCat- operationen (även känd som ALPHV). Cicada 3301 riktar sig främst till små till medelstora företag (SMB), och utnyttjar sårbarheter som sin första åtkomstpunkt genom opportunistiska attacker.
Utvecklad i Rust, denna ransomware är designad för att infektera både Windows och Linux/ESXi-system. Det upptäcktes först i juni 2024, när det började rekrytera affiliates för sin Ransomware-as-a-Service (RaaS)-plattform genom ett inlägg på RAMPs underjordiska forum. En av ransomwarens utmärkande egenskaper är dess inbäddning av komprometterade användaruppgifter i den körbara filen, som senare används för att köra PsExec, ett legitimt verktyg som möjliggör fjärrkörning av program.
Cicada 3301 använder ChaCha20 kryptografiska algoritm, en form av symmetrisk kryptering, för att låsa filer. Namnen på krypterade filer ändras med en slumpmässigt genererad tillägg på sju tecken. Till exempel omvandlas en fil som ursprungligen hette '1.doc' till '1.doc.f11a46a1.' När krypteringen är klar lämnar ransomwaren en lösensumma i en textfil med namnet 'RESTORE-[file_extension]-DATA.txt.'
Innehållsförteckning
Angriparnas krav bakom Cicada 3301 Ransomware
Lösennotan som lämnats av Cicada 3301 gör det tydligt att lösenprogrammet är designat för att rikta sig mot företag. Den informerar offret om att deras nätverk har äventyrats, filer krypterats och säkerhetskopior har raderats. Dessutom varnar den för att en betydande mängd känslig data har stulits från nätverket.
Angriparna kräver betalning för dekrypteringsverktyget och för radering av exfiltrerad data. Om dessa krav inte uppfylls hotar de att läcka den stulna informationen och underrättar tillsynsmyndigheter, såväl som offrets kunder, partners och konkurrenter.
Som en demonstration av att filåterställning är möjlig föreslår hackarna att dekryptera en fil gratis. Noteringen varnar också för att försöka dekryptera eller ändra de krypterade filerna, eftersom det kan leda till permanent dataförlust.
Likheter med tidigare ransomware-hot
Cicada3301 delar flera taktiker med BlackCat, inklusive användningen av ChaCha20-kryptering, sutil-kommandot för att bedöma symboliska länkar och kryptera omdirigerade filer, och IISReset.exe för att stoppa IIS-tjänster och kryptera filer som annars skulle kunna låsas från modifiering eller radering.
Ytterligare likheter med BlackCat inkluderar åtgärder för att ta bort skuggkopior, inaktivera systemåterställning genom att modifiera verktyget bcdedit, öka MaxMpxCt-värdet för att hantera större trafikvolymer (som SMB PsExec-förfrågningar) och radera alla händelseloggar med hjälp av verktyget wevtutil.
Cicada 3301 Ransomware riktar sig till 35 olika filtyper
Cicada3301 har också observerat att stoppa lokalt utplacerade virtuella maskiner (VM), ett beteende som tidigare antagits av Megazord Ransomware och Yanluowang Ransomware , och avsluta olika backup- och återställningstjänster och en hårdkodad lista med dussintals processer.
Förutom att upprätthålla en inbyggd lista över uteslutna filer och kataloger under krypteringsprocessen, riktar sig ransomware mot totalt 35 filtillägg - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm och txt.
Forskare har också avslöjat ytterligare verktyg som EDRSandBlast som beväpnar en sårbar signerad drivrutin för att kringgå EDR-detektering, en praxis som också antogs av BlackByte Ransomware-gruppen tidigare.
Lösennotan som genereras av Cicada 3301 Ransomware lyder:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
