Cicada 3301 Fidye Yazılımı

Siber güvenlik uzmanları, artık durdurulan BlackCat (ALPHV olarak da bilinir) operasyonuyla aynı özellikleri paylaşan Cicada 3301 adlı yeni bir fidye yazılımı varyantını analiz etti. Cicada 3301, öncelikli olarak küçük ve orta ölçekli işletmeleri (KOBİ'ler) hedef alıyor ve fırsatçı saldırılar aracılığıyla ilk erişim noktası olarak güvenlik açıklarını kullanıyor.

Rust'ta geliştirilen bu fidye yazılımı, hem Windows hem de Linux/ESXi sistemlerini enfekte etmek üzere tasarlanmıştır. İlk olarak Haziran 2024'te, RAMP yeraltı forumunda bir gönderi aracılığıyla Ransomware-as-a-Service (RaaS) platformu için iştirakçiler toplamaya başladığında fark edildi. Fidye yazılımının ayırt edici özelliklerinden biri, daha sonra uzaktan program yürütmeyi sağlayan meşru bir araç olan PsExec'i yürütmek için kullanılan, tehlikeye atılmış kullanıcı kimlik bilgilerini yürütülebilir dosyaya yerleştirmesidir.

Cicada 3301, dosyaları kilitlemek için simetrik şifrelemenin bir biçimi olan ChaCha20 kriptografik algoritmasını kullanır. Şifrelenmiş dosyaların adları, rastgele oluşturulmuş yedi karakterli bir uzantıyla değiştirilir. Örneğin, başlangıçta '1.doc' olarak adlandırılan bir dosya '1.doc.f11a46a1' olarak dönüştürülür. Şifreleme tamamlandığında, fidye yazılımı 'RESTORE-[file_extension]-DATA.txt' adlı bir metin dosyasında bir fidye notu bırakır.

Cicada 3301 Fidye Yazılımının Arkasındaki Saldırganların Talepleri

Cicada 3301'in bıraktığı fidye notu, fidye yazılımının işletmeleri hedef almak için tasarlandığını açıkça ortaya koyuyor. Kurbanı, ağının tehlikeye atıldığı, dosyaların şifrelendiği ve yedeklerin silindiği konusunda bilgilendiriyor. Ayrıca, ağdan önemli miktarda hassas verinin çalındığı konusunda uyarıyor.

Saldırganlar şifre çözme aracı için ve sızdırılan verilerin silinmesi için ödeme talep ediyor. Bu talepler karşılanmazsa, çalınan bilgileri sızdırmakla ve düzenleyici makamları ve kurbanın müşterilerini, ortaklarını ve rakiplerini bilgilendirmekle tehdit ediyorlar.

Dosya kurtarmanın mümkün olduğunu göstermek için, bilgisayar korsanları bir dosyayı ücretsiz olarak şifresini çözmeyi teklif ediyor. Notta ayrıca şifrelenmiş dosyaları şifresini çözmeye veya değiştirmeye çalışmaktan da kaçınılıyor, çünkü bu kalıcı veri kaybına yol açabilir.

Önceki Fidye Yazılımı Tehditleriyle Benzerlikler

Cicada3301, ChaCha20 şifrelemesinin kullanımı, sembolik bağlantıları değerlendirmek ve yönlendirilen dosyaları şifrelemek için sutil komutu ve IIS servislerini durdurmak ve aksi takdirde değişiklik veya silmeye karşı kilitlenebilecek dosyaları şifrelemek için IISReset.exe dahil olmak üzere BlackCat ile birkaç taktiği paylaşıyor.

BlackCat ile diğer benzerlikler arasında gölge kopyaları kaldırma, bcdedit yardımcı programını değiştirerek sistem kurtarmayı devre dışı bırakma, daha büyük trafik hacimlerini (örneğin SMB PsExec istekleri) idare etmek için MaxMpxCt değerini artırma ve wevtutil yardımcı programını kullanarak tüm olay günlüklerini silme eylemleri yer alır.

Cicada 3301 Fidye Yazılımı 35 Farklı Dosya Türünü Hedefliyor

Cicada3301 ayrıca daha önce Megazord Ransomware ve Yanluowang Ransomware tarafından benimsenen bir davranış olan yerel olarak dağıtılan sanal makineleri (VM) durdurmayı ve çeşitli yedekleme ve kurtarma hizmetlerini ve düzinelerce işlemden oluşan sabit kodlu bir listeyi sonlandırmayı da gözlemledi.

Şifreleme işlemi sırasında hariç tutulan dosya ve dizinlerin yerleşik bir listesini tutmanın yanı sıra, fidye yazılımı toplam 35 dosya uzantısını hedefliyor: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ve txt.

Araştırmacılar ayrıca, geçmişte BlackByte Ransomware grubunun da benimsediği bir uygulama olan, EDR tespitlerini atlatmak için savunmasız imzalı bir sürücüyü silah olarak kullanan EDRSandBlast gibi ek araçlar da keşfettiler.

Cicada 3301 Ransomware'in oluşturduğu fidye notunda şunlar yazıyor:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'