Cicada 3301勒索軟體

勒索軟體年Mezo年

翻譯為：

網路安全專家分析了一種名為 Cicada 3301 的新勒索軟體變體，該變體與現已停止的BlackCat （也稱為 ALPHV）操作具有相同的特徵。 Cicada 3301 主要針對中小型企業 (SMB)，透過機會性攻擊利用漏洞作為其初始存取點。

該勒索軟體採用 Rust 開發，旨在感染 Windows 和 Linux/ESXi 系統。它於 2024 年 6 月首次被發現，當時它開始透過 RAMP 地下論壇上的貼文為其勒索軟體即服務 (RaaS) 平台招募附屬機構。該勒索軟體的顯著特徵之一是在可執行檔中嵌入受損的使用者憑證，這些憑證隨後用於執行 PsExec（一種支援遠端程式執行的合法工具）。

Cicada 3301 使用 ChaCha20 加密演算法（一種對稱加密形式）來鎖定檔案。加密檔案的名稱會被隨機產生的七個字元副檔名更改。例如，最初名為「1.doc」的檔案被轉換為「1.doc.f11a46a1」。加密完成後，勒索軟體會在名為「RESTORE-[file_extension]-DATA.txt」的文字檔案中留下勒索字條。

Cicada 3301勒索病毒背後的攻擊者需求

Cicada 3301 留下的勒索字條清楚地表明，該勒索軟體旨在針對企業。它通知受害者他們的網路已被破壞，檔案已加密且備份已被刪除。此外，它還警告說，大量敏感資料已從網路中被盜。

攻擊者要求為解密工具和刪除洩漏的資料付費。如果這些要求無法滿足，他們就會威脅洩露被盜資訊並通知監管機構以及受害者的客戶、合作夥伴和競爭對手。

為了證明文件恢復是可能的，駭客提議免費解密一個文件。該說明還警告不要嘗試解密或更改加密文件，因為這樣做可能會導致永久資料遺失。

與先前的勒索軟體威脅的相似之處

Cicada3301 與 BlackCat 共享多種策略，包括使用 ChaCha20 加密、用於評估符號連結和加密重定向檔案的 sutil 命令，以及用於停止 IIS 服務和加密可能被鎖定而無法修改或刪除的檔案的 IISReset.exe。

與 BlackCat 的其他相似之處包括刪除卷影副本、透過修改 bcdedit 公用程式停用系統復原、增加 MaxMpxCt 值以處理更大的流量（例如 SMB PsExec 請求）以及使用 wevtutil 公用程式擦除所有事件日誌的操作。