Cicada 3301 แรนซัมแวร์
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้วิเคราะห์แรนซัมแวร์สายพันธุ์ใหม่ชื่อ Cicada 3301 ซึ่งมีลักษณะร่วมกับปฏิบัติการ BlackCat (หรือที่รู้จักกันในชื่อ ALPHV) ที่ถูกยกเลิกไปแล้ว แรนซัมแวร์ Cicada 3301 มุ่งเป้าไปที่ธุรกิจขนาดเล็กถึงขนาดกลาง (SMB) เป็นหลัก โดยใช้ช่องโหว่เป็นจุดเข้าถึงเริ่มต้นผ่านการโจมตีแบบฉวยโอกาส
แรนซัมแวร์นี้พัฒนาขึ้นใน Rust และออกแบบมาเพื่อแพร่ระบาดทั้งระบบ Windows และ Linux/ESXi โดยพบเห็นครั้งแรกในเดือนมิถุนายน 2024 เมื่อเริ่มรับสมัครพันธมิตรสำหรับแพลตฟอร์ม Ransomware-as-a-Service (RaaS) ผ่านโพสต์บนฟอรัมใต้ดินของ RAMP หนึ่งในคุณสมบัติที่โดดเด่นของแรนซัมแวร์คือการฝังข้อมูลรับรองผู้ใช้ที่ถูกบุกรุกไว้ในไฟล์ปฏิบัติการ ซึ่งภายหลังจะถูกใช้เพื่อเรียกใช้ PsExec ซึ่งเป็นเครื่องมือที่ถูกต้องตามกฎหมายที่ช่วยให้สามารถเรียกใช้โปรแกรมจากระยะไกลได้
Cicada 3301 ใช้ขั้นตอนการเข้ารหัส ChaCha20 ซึ่งเป็นรูปแบบหนึ่งของการเข้ารหัสแบบสมมาตร เพื่อล็อคไฟล์ ไฟล์ที่เข้ารหัสจะมีชื่อที่เปลี่ยนแปลงโดยใช้นามสกุล 7 ตัวอักษรที่สร้างขึ้นแบบสุ่ม ตัวอย่างเช่น ไฟล์ที่มีชื่อเดิมว่า '1.doc' จะถูกแปลงเป็น '1.doc.f11a46a1' เมื่อทำการเข้ารหัสแล้ว แรนซัมแวร์จะทิ้งข้อความเรียกค่าไถ่ไว้ในไฟล์ข้อความที่มีชื่อว่า 'RESTORE-[file_extension]-DATA.txt'
สารบัญ
ความต้องการของผู้โจมตีเบื้องหลัง Cicada 3301 Ransomware
บันทึกเรียกค่าไถ่ที่ Cicada 3301 ทิ้งไว้ทำให้ชัดเจนว่าแรนซัมแวร์ได้รับการออกแบบมาเพื่อกำหนดเป้าหมายธุรกิจ โดยแจ้งให้เหยื่อทราบว่าเครือข่ายของพวกเขาถูกบุกรุก ไฟล์ถูกเข้ารหัส และข้อมูลสำรองถูกลบ นอกจากนี้ ยังเตือนด้วยว่าข้อมูลสำคัญจำนวนมากถูกขโมยไปจากเครือข่าย
ผู้โจมตีเรียกร้องเงินค่าเครื่องมือถอดรหัสและการลบข้อมูลที่ขโมยมา หากไม่เป็นไปตามความต้องการดังกล่าว ผู้โจมตีจะขู่ว่าจะรั่วไหลข้อมูลที่ถูกขโมยไป และแจ้งให้หน่วยงานกำกับดูแล รวมถึงลูกค้า พันธมิตร และคู่แข่งของเหยื่อทราบ
เพื่อเป็นการสาธิตให้เห็นถึงความสามารถในการกู้คืนไฟล์ แฮกเกอร์จึงเสนอให้ถอดรหัสไฟล์หนึ่งไฟล์ฟรี นอกจากนี้ บันทึกดังกล่าวยังเตือนไม่ให้พยายามถอดรหัสหรือแก้ไขไฟล์ที่เข้ารหัส เนื่องจากการกระทำดังกล่าวอาจทำให้ข้อมูลสูญหายอย่างถาวร
ความคล้ายคลึงกับภัยคุกคาม Ransomware ในอดีต
Cicada3301 ใช้กลวิธีหลายอย่างร่วมกับ BlackCat รวมถึงการใช้การเข้ารหัส ChaCha20 คำสั่ง sutil เพื่อประเมินลิงก์สัญลักษณ์และเข้ารหัสไฟล์ที่เปลี่ยนเส้นทาง และ IISReset.exe เพื่อหยุดบริการ IIS และเข้ารหัสไฟล์ที่อาจถูกล็อกไม่ให้แก้ไขหรือลบได้
สิ่งที่คล้ายคลึงเพิ่มเติมกับ BlackCat ได้แก่ การดำเนินการเพื่อลบสำเนาเงา การปิดการใช้งานการกู้คืนระบบโดยการปรับเปลี่ยนยูทิลิตี้ bcdedit เพิ่มค่า MaxMpxCt เพื่อจัดการกับปริมาณการรับส่งข้อมูลที่ใหญ่ขึ้น (เช่น คำขอ SMB PsExec) และล้างบันทึกเหตุการณ์ทั้งหมดโดยใช้ยูทิลิตี้ wevtutil
Ransomware Cicada 3301 กำหนดเป้าหมายเป็นไฟล์ประเภทต่างๆ 35 ประเภท
นอกจากนี้ Cicada3301 ยังได้ตรวจพบการหยุดการทำงานของเครื่องเสมือน (VM) ที่ติดตั้งภายในเครื่อง ซึ่งเป็นพฤติกรรมที่นำมาใช้โดย Megazord Ransomware และ Yanluowang Ransomware ก่อนหน้านี้ และยังยุติบริการสำรองข้อมูลและกู้คืนข้อมูลต่าง ๆ และรายการกระบวนการที่เข้ารหัสแบบฮาร์ดโค้ดหลายสิบรายการอีกด้วย
นอกเหนือจากการรักษารายชื่อไฟล์และไดเรกทอรีที่ไม่รวมไว้ในระหว่างขั้นตอนการเข้ารหัสแล้ว แรนซัมแวร์ยังกำหนดเป้าหมายที่นามสกุลไฟล์ทั้งหมด 35 นามสกุล ได้แก่ sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm และ txt
นักวิจัยยังค้นพบเครื่องมือเพิ่มเติม เช่น EDRSandBlast ซึ่งใช้ไดรเวอร์ลายเซ็นที่มีความเสี่ยงเพื่อหลีกเลี่ยงการตรวจจับ EDR ซึ่งเป็นแนวทางปฏิบัติที่กลุ่ม BlackByte Ransomware นำมาใช้ในอดีต
บันทึกเรียกค่าไถ่ที่สร้างโดย Cicada 3301 Ransomware ระบุว่า:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
