Cicada 3301 Ransomware

Stručnjaci za kibernetičku sigurnost analizirali su novu varijantu ransomwarea nazvanu Cicada 3301, koja dijeli karakteristike s operacijom BlackCat (također poznatom kao ALPHV), koja je sada prekinuta. Cicada 3301 prvenstveno cilja na mala i srednja poduzeća (SMB), koristeći ranjivosti kao početnu pristupnu točku putem oportunističkih napada.

Razvijen u Rustu, ovaj ransomware dizajniran je za zarazu Windows i Linux/ESXi sustava. Prvi put je uočen u lipnju 2024., kada je počeo regrutirati podružnice za svoju platformu Ransomware-as-a-Service (RaaS) putem objave na podzemnom forumu RAMP. Jedna od značajki ransomwarea je njegovo ugrađivanje kompromitiranih korisničkih vjerodajnica unutar izvršne datoteke, koje se kasnije koriste za izvršavanje PsExeca, legitimnog alata koji omogućuje daljinsko izvršavanje programa.

Cicada 3301 koristi ChaCha20 kriptografski algoritam, oblik simetrične enkripcije, za zaključavanje datoteka. Nazivi šifriranih datoteka mijenjaju se pomoću nasumično generiranog proširenja od sedam znakova. Na primjer, datoteka izvorno nazvana '1.doc' pretvara se u '1.doc.f11a46a1.' Nakon što je enkripcija obavljena, ransomware ostavlja poruku o otkupnini u tekstualnoj datoteci pod nazivom 'RESTORE-[file_extension]-DATA.txt.'

Zahtjevi napadača koji stoje iza Cicada 3301 Ransomwarea

Poruka o otkupnini koju je ostavio Cicada 3301 jasno pokazuje da je ransomware dizajniran za ciljanje tvrtki. Obavještava žrtvu da je njihova mreža ugrožena, datoteke šifrirane, a sigurnosne kopije izbrisane. Dodatno, upozorava da je značajna količina osjetljivih podataka ukradena s mreže.

Napadači traže plaćanje za alat za dešifriranje i brisanje eksfiltriranih podataka. Ako se ovi zahtjevi ne ispune, prijete odavanjem ukradenih informacija i obavještavanjem regulatornih tijela, kao i žrtvinih kupaca, partnera i konkurencije.

Kao dokaz da je oporavak datoteke moguć, hakeri predlažu dešifriranje jedne datoteke besplatno. Bilješka također upozorava protiv pokušaja dešifriranja ili mijenjanja šifriranih datoteka jer bi to moglo dovesti do trajnog gubitka podataka.

Sličnosti s prethodnim Ransomware prijetnjama

Cicada3301 dijeli nekoliko taktika s BlackCatom, uključujući korištenje enkripcije ChaCha20, naredbu sutil za procjenu simboličkih veza i šifriranje preusmjerenih datoteka i IISReset.exe za zaustavljanje IIS usluga i šifriranje datoteka koje bi inače mogle biti zaključane od modificiranja ili brisanja.

Dodatne sličnosti s BlackCatom uključuju radnje za uklanjanje kopija u sjeni, onemogućavanje oporavka sustava izmjenom uslužnog programa bcdedit, povećanje vrijednosti MaxMpxCt za rukovanje većim količinama prometa (kao što su SMB PsExec zahtjevi) i brisanje svih zapisa događaja pomoću uslužnog programa wevtutil.

Cicada 3301 Ransomware cilja 35 različitih vrsta datoteka

Cicada3301 također je primijetio zaustavljanje lokalno postavljenih virtualnih strojeva (VM), ponašanje koje su prethodno usvojili Megazord Ransomware i Yanluowang Ransomware , te prekidanje raznih usluga sigurnosnog kopiranja i oporavka te tvrdo kodiranog popisa desetaka procesa.

Osim održavanja ugrađenog popisa izuzetih datoteka i direktorija tijekom procesa enkripcije, ransomware cilja ukupno 35 ekstenzija datoteka - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm i txt.

Istraživači su također otkrili dodatne alate kao što je EDRSandBlast koji koriste ranjivi potpisani upravljački program za zaobilaženje EDR otkrivanja, praksu koju je u prošlosti također usvojila grupa BlackByte Ransomware.

Poruka o otkupnini koju je generirao Cicada 3301 Ransomware glasi:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'