시카다 3301 랜섬웨어

사이버 보안 전문가들은 Cicada 3301이라는 새로운 랜섬웨어 변종을 분석했는데, 이는 현재 중단된 BlackCat (ALPHV라고도 함) 작전과 특성을 공유합니다. Cicada 3301은 주로 중소기업(SMB)을 대상으로 하며, 기회주의적 공격을 통해 취약점을 초기 접근 지점으로 활용합니다.

Rust로 개발된 이 랜섬웨어는 Windows와 Linux/ESXi 시스템을 모두 감염시키도록 설계되었습니다. 2024년 6월에 처음 발견되었는데, RAMP 지하 포럼에 게시글을 통해 랜섬웨어 서비스(RaaS) 플랫폼에 대한 제휴사를 모집하기 시작했습니다. 이 랜섬웨어의 특징 중 하나는 손상된 사용자 자격 증명을 실행 파일 내에 내장하여 나중에 원격 프로그램 실행을 가능하게 하는 합법적인 도구인 PsExec을 실행하는 데 사용된다는 것입니다.

Cicada 3301은 대칭 암호화의 한 형태인 ChaCha20 암호화 알고리즘을 사용하여 파일을 잠급니다. 암호화된 파일의 이름은 무작위로 생성된 7자리 확장자로 변경됩니다. 예를 들어, 원래 이름이 '1.doc'인 파일은 '1.doc.f11a46a1'로 변환됩니다. 암호화가 완료되면 랜섬웨어는 'RESTORE-[file_extension]-DATA.txt'라는 텍스트 파일에 랜섬 노트를 남깁니다.

Cicada 3301 랜섬웨어의 배후에 있는 공격자의 요구 사항

Cicada 3301이 남긴 몸값 메모는 랜섬웨어가 기업을 표적으로 삼도록 설계되었다는 것을 분명히 보여줍니다. 피해자에게 네트워크가 손상되었고, 파일이 암호화되었으며, 백업이 삭제되었다고 알려줍니다. 또한 네트워크에서 상당한 양의 민감한 데이터가 도난당했다고 경고합니다.

공격자는 복호화 도구와 유출된 데이터 삭제에 대한 비용을 요구합니다. 이러한 요구 사항이 충족되지 않으면 도난당한 정보를 유출하고 규제 당국과 피해자의 고객, 파트너 및 경쟁사에 통보하겠다고 위협합니다.

파일 복구가 가능하다는 것을 보여주기 위해 해커들은 무료로 한 파일을 복호화할 것을 제안합니다. 이 메모는 또한 암호화된 파일을 복호화하거나 변경하려고 시도하지 말라고 경고하는데, 그렇게 하면 영구적인 데이터 손실로 이어질 수 있기 때문입니다.

이전 랜섬웨어 위협과의 유사점

Cicada3301은 ChaCha20 암호화 사용, 심볼릭 링크를 평가하고 리디렉션된 파일을 암호화하는 sutil 명령, IIS 서비스를 중단하고 수정이나 삭제가 금지된 파일을 암호화하는 IISReset.exe를 포함하여 BlackCat과 여러 가지 전략을 공유합니다.

BlackCat과 유사한 다른 기능으로는 섀도 복사본 제거, bcdedit 유틸리티를 수정하여 시스템 복구 비활성화, 더 큰 트래픽 볼륨(예: SMB PsExec 요청)을 처리하기 위해 MaxMpxCt 값 증가, wevtutil 유틸리티를 사용하여 모든 이벤트 로그 삭제 등이 있습니다.

Cicada 3301 랜섬웨어는 35가지 다양한 파일 유형을 타겟으로 합니다.

Cicada3301은 로컬에 배포된 가상 머신(VM)을 중지시키는 현상도 관찰했는데, 이는 이전에 Megazord 랜섬웨어와 Yanluowang 랜섬웨어 에서 사용한 동작이며, 다양한 백업 및 복구 서비스와 수십 개의 하드코딩된 프로세스 목록을 종료합니다.

랜섬웨어는 암호화 과정에서 제외되는 파일 및 디렉토리의 내장 목록을 유지하는 것 외에도 총 35개의 파일 확장자를 표적으로 삼습니다. 여기에는 sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, txt가 포함됩니다.

연구자들은 또한 EDR 감지를 우회하기 위해 취약한 서명된 드라이버를 무기화하는 EDRSandBlast와 같은 추가적인 도구를 발견했는데, 이는 과거에 BlackByte 랜섬웨어 그룹이 사용한 관행이기도 합니다.

Cicada 3301 랜섬웨어가 생성한 몸값 요구서는 다음과 같습니다.

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'