Cicada 3301 Ransomware angriber flere operativsystemer

ransomware

Nye ransomware-trusler dukker jævnligt op. En af de mest potentielt farlige varianter er Cicada 3301, en ransomware-operation, der har fået opmærksomhed for sine sofistikerede teknikker og uhyggelige forbindelse til en kryptisk onlinebevægelse. Først opdaget i juni 2024, ser Cicada 3301 Ransomware ud til at være en formidabel efterfølger til tidligere ransomware-grupper som BlackCat (også kendt som ALPHV), som arver og forbedrer deres metoder.

Hvad er Cicada 3301 Ransomware?

Cicada 3301 Ransomware er en ny malware-stamme, der retter sig mod små og mellemstore virksomheder (SMB'er) ved at udnytte systemets sårbarheder. Denne ransomware er skrevet i programmeringssproget Rust og er yderst tilpasningsdygtig og i stand til at angribe Windows- og Linux-baserede systemer. Det dukkede først op på underjordiske fora og inviterede tilknyttede selskaber til at tilslutte sig sin ransomware-as-a-service (RaaS) platform. I denne model kan cyberkriminelle udleje deres ransomware til andre angribere for en del af overskuddet.

Et karakteristisk træk ved Cicada 3301 Ransomware er dens evne til at integrere kompromitterede brugeres legitimationsoplysninger i dens eksekverbare. Denne funktion er afgørende for at sprede ransomware inden for et netværk, da den udnytter legitime værktøjer som PsExec, som giver mulighed for fjernudførelse af programmer på Windows-systemer. Ved at gøre det kan angriberne bevæge sig sideværts på tværs af et offers netværk uden at vække mistanke.

Hvordan virker Ransomware?

Ransomware, inklusive Cicada 3301, er designet til at låse et offers filer ved at kryptere dem og derefter kræve betaling, typisk i kryptovaluta, for at genoprette adgangen. Krypteringsprocessen sikrer, at filer er ubrugelige, indtil offeret betaler løsesummen eller genopretter filerne gennem sikkerhedskopier - hvis sådanne sikkerhedskopier eksisterer og forbliver kompromisløse. I mange tilfælde deaktiverer ransomware også systemgendannelsesværktøjer og sletter sikkerhedskopier for at forhindre ofret i nemt at gendanne deres data.

Cicada 3301 Ransomware bruger avancerede krypteringsmetoder, især ChaCha20-krypteringsalgoritmen, som er yderst effektiv og svær at bryde. Denne ransomware er også rettet mod specifikke filudvidelser som SQL, DOC, XLS, JPEG og mange andre, og låser kritiske forretningsdokumenter, databaser og endda personlige mediefiler.

Her er også løsesumsedlen, som denne infektion falder:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Hvad vil Cicada 3301?

Som de fleste ransomware-programmer er Cicada 3301's primære mål økonomisk gevinst. Ved at kryptere en virksomheds værdifulde data og standse dens drift, kan angribere kræve store løsesummer for at genoprette adgangen. Små til mellemstore virksomheder er særligt sårbare, fordi de ofte mangler større virksomheders robuste cybersikkerhedsforsvar og kan være mere tilbøjelige til at betale løsesummen for at undgå længere nedetid.

Et aspekt, der gør Cicada 3301 særligt farligt, er dets potentielle samarbejde med andre cyberkriminalitetsgrupper. Forskere har afsløret beviser, der tyder på, at operatørerne bag Cicada 3301 muligvis arbejder med Brutus botnet-gruppen for at få indledende adgang til virksomhedsnetværk. Dette tyder på, at ransomware-operationen kunne være en del af en større, koordineret angrebsstrategi, der øger dens rækkevidde og effektivitet.

Avancerede teknikker brugt af Cicada 3301

Cicada 3301 ransomware deler mange ligheder med sin forgænger, BlackCat, men med nogle vigtige opgraderinger. Den anvender en række forskellige taktikker for at maksimere skaden og undgå registrering. For eksempel stopper det virtuelle maskiner (VM'er), der kører på målets systemer for at sikre, at kritiske data, selv dem, der hostes i virtuelle miljøer, er krypteret. Denne teknik er også blevet observeret i andre højprofilerede ransomware-grupper, såsom Megazord og Yanluowang.

Derudover tager Cicada 3301 skridt til at deaktivere systemgendannelse og backup-tjenester, hvilket gør det sværere for ofre at gendanne deres data uden at betale løsesum. Den bruger værktøjer som bcdedit til at manipulere systemgendannelsesindstillinger og wevtutil til at rydde alle hændelseslogfiler, hvilket effektivt sletter sporene. Dette sofistikerede niveau gør det udfordrende for sikkerhedsteams at opdage og reagere på angrebet i realtid.

Ransomware bygget til hastighed og unddragelse

En af Cicada 3301's mere innovative funktioner er intermitterende kryptering. Denne metode involverer selektiv kryptering af dele af større filer, hvilket reducerer den tid, det tager at låse enorme mængder data. Ved kun at kryptere filer, der er større end 100 MB, kan Cicada 3301 hurtigt udelukke store databaser og andre kritiske filer, hvilket efterlader virksomheder ude af stand til at fungere.

En anden unik funktion er evnen til at fortsætte med at kryptere filer, selv mens virtuelle maskiner kører, ved at bruge en parameter kaldet "no_vm_ss." Denne tilgang gør det muligt for ransomware at kryptere data uden at skulle lukke de virtuelle maskiner ned, hvilket minimerer forstyrrelser i driften og hjælper med at ransomware forbliver ubemærket i længere perioder.

Sådan beskytter du dig selv mod Cicada 3301

Fremkomsten af Cicada 3301 Ransomware forstærker virksomhedernes behov for at opretholde stærke cybersikkerhedsforsvar. Det første skridt i at forsvare sig mod ransomware er at sikre, at al software, især operativsystemer og sikkerhedsværktøjer, er opdateret. Sårbarheder i forældet software er blandt de mest almindelige indgangspunkter for ransomware-angreb.

Derudover bør organisationer implementere en flerlags sikkerhedstilgang, der inkluderer:

  • Regelmæssige sikkerhedskopier : Sørg for, at data sikkerhedskopieres regelmæssigt og opbevares på steder, der er isoleret fra hovednetværket. Dette vil give virksomheder mulighed for at gendanne deres data uden at betale løsesum.
  • Netværkssegmentering : Ved at segmentere deres netværk kan organisationer begrænse spredningen af ransomware, hvis det lykkes at infiltrere systemet.
  • Medarbejderuddannelse : Menneskelige fejl, såsom at klikke på et ondsindet link eller downloade en mistænkelig vedhæftet fil, er fortsat en førende årsag til ransomware-infektioner. Regelmæssig træning og phishing-simuleringer kan reducere denne risiko.
  • Endpoint Detection and Response (EDR) : Avancerede sikkerhedsløsninger kan detektere og afbøde ransomware, før det spredes gennem et netværk. Noget ransomware, herunder Cicada 3301, forsøger at omgå EDR-værktøjer, så det er afgørende at bruge robuste, opdaterede løsninger.

Den foruroligende forbindelse til Cicada 3301-puslespillet

Cicada 3301 Ransomware deler sit navn med en gådefuld online bevægelse kendt for at skabe komplekse kryptografiske gåder. Den oprindelige Cicada 3301-gruppe har dog offentligt taget afstand fra denne ransomware-operation og erklæret, at den ikke har nogen tilknytning til den kriminelle aktivitet. Hvorvidt dette er et forsøg fra ransomware-skaberne på at låne fra den oprindelige gruppes mystik eller blot en tilfældighed, forbliver uklart.

Uanset hvad markerer ankomsten af Cicada 3301 ransomware et nyt kapitel i den igangværende kamp mellem cyberkriminelle og cybersikkerhedsprofessionelle. Ved at forstå, hvordan denne ransomware fungerer og tage proaktive skridt til at forsvare sig mod det, kan virksomheder minimere deres risiko for at blive det næste offer.

I Willa
September 5, 2024
Ransomware
Dansk
September 5, 2024
Ransomware

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.