Cicada 3301 勒索软件
网络安全专家分析了一种名为 Cicada 3301 的新勒索软件变种,它与现已停止的BlackCat (也称为 ALPHV)行动有相似之处。Cicada 3301 主要针对中小型企业 (SMB),利用漏洞作为其通过机会性攻击的初始接入点。
这种勒索软件是用 Rust 开发的,旨在感染 Windows 和 Linux/ESXi 系统。它于 2024 年 6 月首次被发现,当时它开始通过 RAMP 地下论坛上的一篇帖子为其勒索软件即服务 (RaaS) 平台招募会员。勒索软件的一个显着特征是它将泄露的用户凭据嵌入可执行文件中,这些凭据随后用于执行 PsExec,这是一种允许远程程序执行的合法工具。
Cicada 3301 使用 ChaCha20 加密算法(一种对称加密形式)来锁定文件。加密文件的名称会使用随机生成的七个字符的扩展名进行更改。例如,原本名为“1.doc”的文件会转换为“1.doc.f11a46a1”。加密完成后,勒索软件会在名为“RESTORE-[file_extension]-DATA.txt”的文本文件中留下勒索信。
目录
Cicada 3301 勒索病毒背后攻击者的诉求
Cicada 3301 留下的勒索信表明,勒索软件是针对企业的。它通知受害者,他们的网络已被入侵,文件已被加密,备份已被删除。此外,它还警告说,大量敏感数据已从网络中被盗。
攻击者要求受害者支付解密工具费用并删除窃取的数据。如果受害者不满足这些要求,他们就会威胁泄露窃取的信息并通知监管机构以及受害者的客户、合作伙伴和竞争对手。
为了证明文件恢复是可能的,黑客建议免费解密一个文件。该说明还警告不要试图解密或更改加密文件,因为这样做可能会导致永久性数据丢失。
与以前的勒索软件威胁的相似之处
Cicada3301 与 BlackCat 采用了几种相同的策略,包括使用 ChaCha20 加密、使用 sutil 命令评估符号链接和加密重定向文件,以及使用 IISReset.exe 停止 IIS 服务并加密可能被锁定而无法修改或删除的文件。
与 BlackCat 的其他相似之处包括删除卷影副本、通过修改 bcdedit 实用程序禁用系统恢复、增加 MaxMpxCt 值以处理更大的流量(例如 SMB PsExec 请求)以及使用 wevtutil 实用程序擦除所有事件日志。
Cicada 3301 勒索软件针对 35 种不同的文件类型
Cicada3301 还观察到停止本地部署的虚拟机(VM),这是 Megazord 勒索软件和Yanluowang 勒索软件以前采用的行为,并且终止各种备份和恢复服务以及数十个进程的硬编码列表。
除了在加密过程中维护内置的排除文件和目录列表外,勒索软件还针对总共 35 种文件扩展名 - sql、doc、rtf、xls、jpg、jpeg、psd、docm、xlsm、ods、ppsx、png、raw、dotx、xltx、pptx、ppsm、gif、bmp、dotm、xltm、pptm、odp、webp、pdf、odt、xlsb、ptox、mdf、tiff、docx、xlsx、xlam、potm 和 txt。
研究人员还发现了其他工具,例如 EDRSandBlast,它们利用易受攻击的签名驱动程序来绕过 EDR 检测,BlackByte 勒索软件组织过去也采用过这种做法。
Cicada 3301 勒索软件生成的勒索信内容如下:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'