Phần mềm tống tiền Cicada 3301
Các chuyên gia an ninh mạng đã phân tích một biến thể ransomware mới có tên là Cicada 3301, có chung đặc điểm với hoạt động BlackCat (còn gọi là ALPHV) hiện đã ngừng hoạt động. Cicada 3301 chủ yếu nhắm vào các doanh nghiệp vừa và nhỏ (SMB), tận dụng các lỗ hổng làm điểm truy cập ban đầu thông qua các cuộc tấn công cơ hội.
Được phát triển trong Rust, ransomware này được thiết kế để lây nhiễm cả hệ thống Windows và Linux/ESXi. Lần đầu tiên nó được phát hiện vào tháng 6 năm 2024, khi nó bắt đầu tuyển dụng các chi nhánh cho nền tảng Ransomware-as-a-Service (RaaS) của nó thông qua một bài đăng trên diễn đàn ngầm RAMP. Một trong những tính năng nổi bật của ransomware này là nhúng thông tin đăng nhập của người dùng bị xâm phạm vào tệp thực thi, sau đó được sử dụng để thực thi PsExec, một công cụ hợp pháp cho phép thực thi chương trình từ xa.
Cicada 3301 sử dụng thuật toán mã hóa ChaCha20, một dạng mã hóa đối xứng, để khóa các tệp. Các tệp được mã hóa có tên được thay đổi bằng phần mở rộng bảy ký tự được tạo ngẫu nhiên. Ví dụ, một tệp ban đầu có tên là '1.doc' được chuyển thành '1.doc.f11a46a1.' Sau khi mã hóa xong, ransomware để lại một ghi chú đòi tiền chuộc trong tệp văn bản có tên là 'RESTORE-[file_extension]-DATA.txt.'
Mục lục
Những yêu cầu của kẻ tấn công đằng sau Cicada 3301 Ransomware
Ghi chú đòi tiền chuộc do Cicada 3301 để lại cho thấy rõ ràng rằng ransomware này được thiết kế để nhắm vào các doanh nghiệp. Nó thông báo cho nạn nhân rằng mạng của họ đã bị xâm phạm, các tệp đã bị mã hóa và các bản sao lưu đã bị xóa. Ngoài ra, nó cảnh báo rằng một lượng lớn dữ liệu nhạy cảm đã bị đánh cắp khỏi mạng.
Những kẻ tấn công yêu cầu thanh toán cho công cụ giải mã và xóa dữ liệu đã đánh cắp. Nếu những yêu cầu này không được đáp ứng, chúng đe dọa sẽ tiết lộ thông tin bị đánh cắp và thông báo cho các cơ quan quản lý, cũng như khách hàng, đối tác và đối thủ cạnh tranh của nạn nhân.
Để chứng minh rằng việc khôi phục tệp là khả thi, tin tặc đề xuất giải mã một tệp miễn phí. Lưu ý cũng cảnh báo không nên cố gắng giải mã hoặc thay đổi các tệp đã mã hóa, vì làm như vậy có thể dẫn đến mất dữ liệu vĩnh viễn.
Điểm tương đồng với các mối đe dọa Ransomware trước đây
Cicada3301 có một số chiến thuật giống với BlackCat, bao gồm việc sử dụng mã hóa ChaCha20, lệnh sutil để đánh giá các liên kết tượng trưng và mã hóa các tệp được chuyển hướng, cũng như IISReset.exe để dừng các dịch vụ IIS và mã hóa các tệp có thể bị khóa không cho sửa đổi hoặc xóa.
Những điểm tương đồng bổ sung với BlackCat bao gồm các hành động xóa bản sao ẩn, vô hiệu hóa chức năng phục hồi hệ thống bằng cách sửa đổi tiện ích bcdedit, tăng giá trị MaxMpxCt để xử lý khối lượng lưu lượng lớn hơn (chẳng hạn như yêu cầu SMB PsExec) và xóa tất cả nhật ký sự kiện bằng tiện ích wevtutil.
Ransomware Cicada 3301 nhắm mục tiêu vào 35 loại tệp khác nhau
Cicada3301 cũng đã quan sát thấy việc dừng các máy ảo (VM) được triển khai cục bộ, một hành vi trước đây được Megazord Ransomware và Yanluowang Ransomware áp dụng, đồng thời chấm dứt nhiều dịch vụ sao lưu và phục hồi khác nhau và danh sách được mã hóa cứng gồm hàng chục quy trình.
Bên cạnh việc duy trì danh sách tích hợp các tệp và thư mục bị loại trừ trong quá trình mã hóa, phần mềm tống tiền này còn nhắm mục tiêu vào tổng cộng 35 phần mở rộng tệp - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm và txt.
Các nhà nghiên cứu cũng đã phát hiện ra các công cụ bổ sung như EDRSandBlast, công cụ biến trình điều khiển đã ký dễ bị tấn công thành vũ khí để vượt qua các phát hiện của EDR, một phương pháp cũng được nhóm BlackByte Ransomware áp dụng trong quá khứ.
Nội dung yêu cầu tiền chuộc do Cicada 3301 Ransomware tạo ra như sau:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
