Cicada 3301 Ransomware

Sinuri ng mga dalubhasa sa cybersecurity ang isang bagong variant ng ransomware na pinangalanang Cicada 3301, na nagbabahagi ng mga katangian sa hindi na ipinagpatuloy na BlackCat (kilala rin bilang ALPHV) na operasyon. Pangunahing pinupuntirya ng Cicada 3301 ang mga maliliit hanggang katamtamang laki ng mga negosyo (SMB), na gumagamit ng mga kahinaan bilang paunang access point nito sa pamamagitan ng mga oportunistang pag-atake.

Binuo sa Rust, ang ransomware na ito ay idinisenyo upang makahawa sa parehong Windows at Linux/ESXi system. Una itong nakita noong Hunyo 2024, nang magsimula itong mag-recruit ng mga affiliate para sa Ransomware-as-a-Service (RaaS) platform nito sa pamamagitan ng isang post sa RAMP underground forum. Ang isa sa mga natatanging tampok ng ransomware ay ang pag-embed nito ng mga nakompromisong kredensyal ng user sa loob ng executable, na sa kalaunan ay ginamit upang isagawa ang PsExec, isang lehitimong tool na nagbibigay-daan sa pagpapatupad ng malayuang programa.

Ang Cicada 3301 ay gumagamit ng ChaCha20 cryptographic algorithm, isang anyo ng simetriko na pag-encrypt, upang i-lock ang mga file. Ang mga naka-encrypt na file ay binago ang kanilang mga pangalan gamit ang isang random na nabuong pitong-character na extension. Halimbawa, ang isang file na orihinal na pinangalanang '1.doc' ay binago sa '1.doc.f11a46a1.' Kapag tapos na ang pag-encrypt, nag-iiwan ang ransomware ng ransom note sa isang text file na pinangalanang 'RESTORE-[file_extension]-DATA.txt.'

Ang Mga Demand ng mga Attacker sa likod ng Cicada 3301 Ransomware

Ang ransom note na iniwan ng Cicada 3301 ay nilinaw na ang ransomware ay idinisenyo upang i-target ang mga negosyo. Ipinapaalam nito sa biktima na nakompromiso ang kanilang network, na-encrypt ang mga file, at nabura ang mga backup. Bukod pa rito, nagbabala ito na isang malaking halaga ng sensitibong data ang ninakaw mula sa network.

Ang mga umaatake ay humihingi ng bayad para sa decryption tool at para sa pagtanggal ng exfiltrated data. Kung hindi matugunan ang mga kahilingang ito, nagbabanta sila na i-leak ang ninakaw na impormasyon at aabisuhan ang mga awtoridad sa regulasyon, gayundin ang mga customer, kasosyo at kakumpitensya ng biktima.

Bilang pagpapakita na posible ang pagbawi ng file, iminumungkahi ng mga hacker na i-decrypt ang isang file nang libre. Nag-iingat din ang tala laban sa pagtatangkang i-decrypt o baguhin ang mga naka-encrypt na file, dahil ang paggawa nito ay maaaring humantong sa permanenteng pagkawala ng data.

Mga Pagkakatulad sa Nakaraang Mga Banta sa Ransomware

Ang Cicada3301 ay nagbabahagi ng ilang mga taktika sa BlackCat, kabilang ang paggamit ng ChaCha20 encryption, ang sutil na command upang masuri ang mga simbolikong link at i-encrypt ang mga na-redirect na file, at IISReset.exe upang ihinto ang mga serbisyo ng IIS at i-encrypt ang mga file na maaaring mai-lock mula sa pagbabago o pagtanggal.

Ang mga karagdagang pagkakatulad sa BlackCat ay kinabibilangan ng mga pagkilos na mag-alis ng mga shadow copy, i-disable ang system recovery sa pamamagitan ng pagbabago sa bcdedit utility, pataasin ang MaxMpxCt value para mahawakan ang mas malalaking volume ng trapiko (gaya ng mga kahilingan ng SMB PsExec), at i-wipe ang lahat ng event log gamit ang wevtutil utility.

Tinatarget ng Cicada 3301 Ransomware ang 35 Iba't ibang Uri ng File

Naobserbahan din ng Cicada3301 ang paghinto ng mga locally deployed virtual machine (VMs), isang gawi na dating pinagtibay ng Megazord Ransomware at ng Yanluowang Ransomware , at pagwawakas ng iba't ibang backup at recovery services at isang hard-coded na listahan ng dose-dosenang mga proseso.

Bukod sa pagpapanatili ng built-in na listahan ng mga hindi kasamang file at direktoryo sa panahon ng proseso ng pag-encrypt, tina-target ng ransomware ang kabuuang 35 file extension - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, at txt.

Natuklasan din ng mga mananaliksik ang mga karagdagang tool tulad ng EDRSandBlast na ginagamitan ng sandata ang isang vulnerable na sign na driver upang i-bypass ang mga pagtuklas ng EDR, isang kasanayang pinagtibay din ng BlackByte Ransomware group sa nakaraan.

Ang ransom note na nabuo ng Cicada 3301 Ransomware ay nagbabasa:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'