Cicada 3301 Erpressersoftware
Cybersicherheitsexperten haben eine neue Ransomware-Variante namens Cicada 3301 analysiert, die Merkmale mit der inzwischen eingestellten BlackCat -Operation (auch bekannt als ALPHV) gemeinsam hat. Cicada 3301 zielt in erster Linie auf kleine und mittlere Unternehmen (KMU) ab und nutzt Schwachstellen als ersten Zugangspunkt für opportunistische Angriffe.
Diese in Rust entwickelte Ransomware ist darauf ausgelegt, sowohl Windows- als auch Linux/ESXi-Systeme zu infizieren. Sie wurde erstmals im Juni 2024 entdeckt, als sie über einen Beitrag im Untergrundforum RAMP begann, Partner für ihre Ransomware-as-a-Service (RaaS)-Plattform zu rekrutieren. Eines der Unterscheidungsmerkmale der Ransomware ist die Einbettung kompromittierter Benutzeranmeldeinformationen in die ausführbare Datei, die später zur Ausführung von PsExec verwendet werden, einem legitimen Tool, das die Remote-Ausführung von Programmen ermöglicht.
Cicada 3301 verwendet den kryptografischen Algorithmus ChaCha20, eine Form der symmetrischen Verschlüsselung, um Dateien zu sperren. Die Namen verschlüsselter Dateien werden durch eine zufällig generierte siebenstellige Erweiterung ersetzt. So wird beispielsweise eine Datei mit dem ursprünglichen Namen „1.doc“ in „1.doc.f11a46a1“ umgewandelt. Nach der Verschlüsselung hinterlässt die Ransomware eine Lösegeldforderung in einer Textdatei mit dem Namen „RESTORE-[Dateierweiterung]-DATA.txt“.
Inhaltsverzeichnis
Die Forderungen der Angreifer hinter der Cicada 3301 Ransomware
Der Erpresserbrief, den Cicada 3301 hinterlässt, macht deutlich, dass die Ransomware gezielt auf Unternehmen abzielt. Er informiert das Opfer darüber, dass sein Netzwerk kompromittiert wurde, Dateien verschlüsselt und Backups gelöscht wurden. Darüber hinaus warnt er, dass eine erhebliche Menge vertraulicher Daten aus dem Netzwerk gestohlen wurde.
Die Angreifer verlangen eine Zahlung für das Entschlüsselungstool und die Löschung der exfiltrierten Daten. Wenn diese Forderungen nicht erfüllt werden, drohen sie damit, die gestohlenen Informationen zu veröffentlichen und die Aufsichtsbehörden sowie die Kunden, Partner und Konkurrenten des Opfers zu benachrichtigen.
Als Beweis dafür, dass eine Wiederherstellung der Dateien möglich ist, bieten die Hacker an, eine Datei kostenlos zu entschlüsseln. Der Hinweis warnt auch davor, zu versuchen, die verschlüsselten Dateien zu entschlüsseln oder zu verändern, da dies zu einem dauerhaften Datenverlust führen könnte.
Ähnlichkeiten mit früheren Ransomware-Bedrohungen
Cicada3301 hat mehrere Taktiken mit BlackCat gemeinsam, darunter die Verwendung der ChaCha20-Verschlüsselung, den Befehl sutil zum Auswerten symbolischer Links und Verschlüsseln umgeleiteter Dateien sowie IISReset.exe zum Anhalten von IIS-Diensten und Verschlüsseln von Dateien, die andernfalls vor Änderungen oder Löschungen gesperrt wären.
Weitere Ähnlichkeiten mit BlackCat umfassen Aktionen zum Entfernen von Schattenkopien, zum Deaktivieren der Systemwiederherstellung durch Ändern des Dienstprogramms bcdedit, zum Erhöhen des MaxMpxCt-Werts zum Verarbeiten größerer Datenmengen (wie etwa SMB PsExec-Anfragen) und zum Löschen aller Ereignisprotokolle mit dem Dienstprogramm wevtutil.
Die Ransomware Cicada 3301 zielt auf 35 verschiedene Dateitypen ab
Außerdem wurde bei Cicada3301 das Anhalten lokal bereitgestellter virtueller Maschinen (VMs) beobachtet – ein Verhalten, das zuvor von der Megazord-Ransomware und der Yanluowang-Ransomware gezeigt wurde – sowie die Beendigung verschiedener Sicherungs- und Wiederherstellungsdienste und einer fest codierten Liste mit Dutzenden von Prozessen.
Neben der Pflege einer integrierten Liste ausgeschlossener Dateien und Verzeichnisse während des Verschlüsselungsprozesses zielt die Ransomware auf insgesamt 35 Dateierweiterungen ab – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm und txt.
Forscher haben außerdem zusätzliche Tools wie EDRSandBlast entdeckt, die einen anfälligen signierten Treiber als Waffe einsetzen, um die EDR-Erkennung zu umgehen – eine Vorgehensweise, die in der Vergangenheit auch von der BlackByte Ransomware-Gruppe angewandt wurde.
Der von der Cicada 3301 Ransomware generierte Erpresserbrief lautet:
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
