Програма-вимагач Cicada 3301
Експерти з кібербезпеки проаналізували новий варіант програми-вимагача під назвою Cicada 3301, яка має спільні риси з припиненою функцією BlackCat (також відомою як ALPHV). Cicada 3301 націлена насамперед на малий і середній бізнес (SMBs), використовуючи вразливості як початкову точку доступу за допомогою опортуністичних атак.
Це програмне забезпечення-вимагач, розроблене в Rust, призначене для зараження систем Windows і Linux/ESXi. Вперше його помітили в червні 2024 року, коли він почав набирати афілійованих осіб для своєї платформи Ransomware-as-a-Service (RaaS) через публікацію на підпільному форумі RAMP. Однією з відмінних особливостей програми-вимагача є вбудовування скомпрометованих облікових даних користувача у виконуваний файл, які згодом використовуються для запуску PsExec, законного інструменту, який дозволяє віддалено виконувати програму.
Cicada 3301 використовує криптографічний алгоритм ChaCha20, форму симетричного шифрування, для блокування файлів. Назви зашифрованих файлів змінюються випадково згенерованим розширенням із семи символів. Наприклад, файл із початковою назвою «1.doc» перетворюється на «1.doc.f11a46a1». Після завершення шифрування програма-вимагач залишає повідомлення про викуп у текстовому файлі під назвою «RESTORE-[file_extension]-DATA.txt».
Зміст
Вимоги зловмисників, які стоять за програмою-вимагачем Cicada 3301
Записка про викуп, залишена Cicada 3301, чітко вказує на те, що програма-вимагач призначена для компаній. Він інформує жертву, що її мережу зламано, файли зашифровано, а резервні копії стерто. Крім того, він попереджає, що з мережі було викрадено значну кількість конфіденційних даних.
Зловмисники вимагають оплату інструменту дешифрування та видалення викрадених даних. Якщо ці вимоги не будуть виконані, вони погрожують витоком викраденої інформації та повідомлять про це регуляторні органи, а також клієнтів, партнерів і конкурентів жертви.
Як демонстрація того, що відновлення файлів можливе, хакери пропонують розшифрувати один файл безкоштовно. У примітці також застерігають від спроб розшифрувати або змінити зашифровані файли, оскільки це може призвести до остаточної втрати даних.
Подібності з попередніми загрозами програм-вимагачів
Cicada3301 має кілька спільних тактик із BlackCat, включаючи використання шифрування ChaCha20, команду sutil для оцінки символічних посилань і шифрування переспрямованих файлів, а також IISReset.exe для зупинки служб IIS і шифрування файлів, які інакше можуть бути заблоковані від модифікації чи видалення.
Додаткові подібності до BlackCat включають дії для видалення тіньових копій, вимкнення відновлення системи шляхом зміни утиліти bcdedit, збільшення значення MaxMpxCt для обробки великих обсягів трафіку (наприклад, запити SMB PsExec) і видалення всіх журналів подій за допомогою утиліти wevtutil.
Програма-вимагач Cicada 3301 націлена на 35 різних типів файлів
Cicada3301 також спостерігав зупинку локально розгорнутих віртуальних машин (ВМ), поведінку, яку раніше використовували програми-вимагачі Megazord і програми-вимагачі Yanluowang , а також припинення роботи різних служб резервного копіювання та відновлення та жорстко закодований список із десятків процесів.
Окрім підтримки вбудованого списку виключених файлів і каталогів під час процесу шифрування, програма-вимагач націлена на 35 розширень файлів – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm і txt.
Дослідники також виявили додаткові інструменти, як-от EDRSandBlast, які використовують уразливий підписаний драйвер для обходу виявлення EDR. Ця практика також використовувалася групою BlackByte Ransomware у минулому.
У записці про викуп, створеній програмою-вимагачем Cicada 3301, написано:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
