Cicada 3301 рансъмуер
Експерти по киберсигурност са анализирали нов вариант на ransomware, наречен Cicada 3301, който споделя черти с вече преустановената операция BlackCat (известна също като ALPHV). Cicada 3301 е насочен основно към малки и средни предприятия (SMBs), като използва уязвимостите като своя първоначална точка за достъп чрез опортюнистични атаки.
Разработен в Rust, този ransomware е предназначен да заразява както Windows, така и Linux/ESXi системи. За първи път беше забелязан през юни 2024 г., когато започна да набира партньори за своята платформа Ransomware-as-a-Service (RaaS) чрез публикация в подземния форум на RAMP. Една от отличителните характеристики на ransomware е вграждането на компрометирани потребителски идентификационни данни в изпълнимия файл, които по-късно се използват за изпълнение на PsExec, легитимен инструмент, който позволява дистанционно изпълнение на програма.
Cicada 3301 използва криптографския алгоритъм ChaCha20, форма на симетрично криптиране, за заключване на файлове. Имената на шифрованите файлове са променени с произволно генерирано разширение от седем знака. Например файл с първоначално име „1.doc“ се трансформира в „1.doc.f11a46a1“. След като криптирането приключи, рансъмуерът оставя бележка за откуп в текстов файл с име „RESTORE-[file_extension]-DATA.txt.“
Съдържание
Исканията на нападателите зад рансъмуера Cicada 3301
Бележката за откуп, оставена от Cicada 3301, показва ясно, че рансъмуерът е предназначен да се насочва към бизнеса. Той информира жертвата, че мрежата им е била компрометирана, файловете са криптирани и архивите са изтрити. Освен това предупреждава, че значително количество чувствителни данни е откраднато от мрежата.
Нападателите искат плащане за инструмента за дешифриране и за изтриване на ексфилтрираните данни. Ако тези изисквания не бъдат изпълнени, те заплашват да изтекат открадната информация и да уведомят регулаторните органи, както и клиентите, партньорите и конкурентите на жертвата.
Като демонстрация, че възстановяването на файлове е възможно, хакерите предлагат да дешифрират един файл безплатно. Бележката също така предупреждава да не се опитвате да дешифрирате или промените криптираните файлове, тъй като това може да доведе до трайна загуба на данни.
Прилики с предишни заплахи от рансъмуер
Cicada3301 споделя няколко тактики с BlackCat, включително използването на ChaCha20 криптиране, командата sutil за оценка на символни връзки и криптиране на пренасочени файлове и IISReset.exe за спиране на IIS услуги и криптиране на файлове, които иначе биха могли да бъдат заключени от модификация или изтриване.
Допълнителните прилики с BlackCat включват действия за премахване на сенчести копия, деактивиране на възстановяването на системата чрез модифициране на помощната програма bcdedit, увеличаване на стойността MaxMpxCt за обработка на по-големи обеми трафик (като SMB PsExec заявки) и изтриване на всички регистрационни файлове на събития с помощта на помощната програма wevtutil.
Рансъмуерът Cicada 3301 е насочен към 35 различни типа файлове
Cicada3301 също наблюдава спиране на локално разгърнати виртуални машини (VM), поведение, възприето преди това от Megazord Ransomware и Yanluowang Ransomware , и прекратяване на различни услуги за архивиране и възстановяване и твърдо кодиран списък от десетки процеси.
Освен поддържането на вграден списък с изключени файлове и директории по време на процеса на криптиране, рансъмуерът е насочен към общо 35 файлови разширения - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm и txt.
Изследователите са открили и допълнителни инструменти като EDRSandBlast, които въоръжават уязвим драйвер с подпис, за да заобиколят откриванията на EDR, практика, възприета и от групата BlackByte Ransomware в миналото.
Бележката за откуп, генерирана от рансъмуера Cicada 3301 гласи:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
