Cicada 3301 Ransomware greift mehrere Betriebssysteme an

ransomware

Regelmäßig treten neue Ransomware-Bedrohungen auf. Eine der potenziell gefährlichsten Varianten ist Cicada 3301, eine Ransomware-Operation, die aufgrund ihrer ausgeklügelten Techniken und ihrer unheimlichen Verbindung zu einer kryptischen Online-Bewegung Aufmerksamkeit erregt hat. Cicada 3301 Ransomware wurde erstmals im Juni 2024 entdeckt und scheint ein beeindruckender Nachfolger früherer Ransomware-Gruppen wie BlackCat (auch bekannt als ALPHV) zu sein, deren Methoden erbt und verbessert werden.

Was ist Cicada 3301 Ransomware?

Cicada 3301 Ransomware ist eine neue Malware-Variante, die kleine und mittlere Unternehmen (KMU) angreift, indem sie Systemschwachstellen ausnutzt. Diese in der Programmiersprache Rust geschriebene Ransomware ist äußerst anpassungsfähig und kann Windows- und Linux-basierte Systeme angreifen. Sie tauchte zuerst in Untergrundforen auf und lud Partner ein, sich ihrer Ransomware-as-a-Service-Plattform (RaaS) anzuschließen. In diesem Modell können Cyberkriminelle ihre Ransomware gegen einen Anteil am Gewinn an andere Angreifer vermieten.

Eine Besonderheit der Cicada 3301 Ransomware ist ihre Fähigkeit, die Anmeldeinformationen kompromittierter Benutzer in ihre ausführbare Datei einzubetten. Diese Funktion ist für die Verbreitung der Ransomware innerhalb eines Netzwerks von entscheidender Bedeutung, da sie legitime Tools wie PsExec nutzt, das die Remote-Ausführung von Programmen auf Windows-Systemen ermöglicht. Auf diese Weise können sich die Angreifer seitlich durch das Netzwerk eines Opfers bewegen, ohne Verdacht zu erregen.

Wie funktioniert Ransomware?

Ransomware, darunter Cicada 3301, ist darauf ausgelegt, die Dateien eines Opfers durch Verschlüsselung zu sperren und dann eine Zahlung, in der Regel in Kryptowährung, zu verlangen, um den Zugriff wiederherzustellen. Der Verschlüsselungsprozess stellt sicher, dass die Dateien unbrauchbar sind, bis das Opfer das Lösegeld bezahlt oder die Dateien durch Backups wiederherstellt – sofern solche Backups vorhanden und unversehrt sind. In vielen Fällen deaktiviert Ransomware auch Systemwiederherstellungstools und löscht Backups, um zu verhindern, dass das Opfer seine Daten problemlos wiederherstellen kann.

Cicada 3301 Ransomware verwendet fortschrittliche Verschlüsselungsmethoden, insbesondere den ChaCha20-Verschlüsselungsalgorithmus, der hocheffizient und schwer zu knacken ist. Diese Ransomware zielt auch auf bestimmte Dateierweiterungen wie SQL, DOC, XLS, JPEG und viele andere ab und sperrt wichtige Geschäftsdokumente, Datenbanken und sogar persönliche Mediendateien.

Hier ist auch die Lösegeldforderung, die diese Infektion hinterlässt:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Was will Cicada 3301?

Wie die meisten Ransomware-Programme zielt Cicada 3301 in erster Linie auf finanziellen Gewinn ab. Indem sie die wertvollen Daten eines Unternehmens verschlüsseln und dessen Betrieb lahmlegen, können Angreifer hohe Lösegelder fordern, um den Zugriff wiederherzustellen. Kleine und mittlere Unternehmen sind besonders anfällig, da sie oft nicht über die robusten Cybersicherheitsvorkehrungen größerer Unternehmen verfügen und eher bereit sind, das Lösegeld zu zahlen, um längere Ausfallzeiten zu vermeiden.

Ein Aspekt, der Cicada 3301 besonders gefährlich macht, ist seine mögliche Zusammenarbeit mit anderen Cybercrime-Gruppen. Forscher haben Hinweise darauf gefunden, dass die Betreiber hinter Cicada 3301 möglicherweise mit der Brutus-Botnet-Gruppe zusammenarbeiten, um ersten Zugriff auf Unternehmensnetzwerke zu erhalten. Dies deutet darauf hin, dass die Ransomware-Operation Teil einer größeren, koordinierten Angriffsstrategie sein könnte, was ihre Reichweite und Wirksamkeit erhöht.

Fortgeschrittene Techniken, die von Cicada 3301 verwendet werden

Die Ransomware Cicada 3301 hat viele Ähnlichkeiten mit ihrem Vorgänger BlackCat, weist jedoch einige wichtige Verbesserungen auf. Sie verwendet verschiedene Taktiken, um den Schaden zu maximieren und der Erkennung zu entgehen. Beispielsweise stoppt sie virtuelle Maschinen (VMs), die auf den Systemen des Ziels ausgeführt werden, um sicherzustellen, dass kritische Daten, auch solche, die in virtuellen Umgebungen gehostet werden, verschlüsselt sind. Diese Technik wurde auch bei anderen bekannten Ransomware-Gruppen wie Megazord und Yanluowang beobachtet.

Darüber hinaus unternimmt Cicada 3301 Schritte, um die Systemwiederherstellung und Backup-Dienste zu deaktivieren, wodurch es für Opfer schwieriger wird, ihre Daten wiederherzustellen, ohne das Lösegeld zu zahlen. Es verwendet Tools wie bcdedit um die Systemwiederherstellungseinstellungen zu manipulieren, und wevtutil um alle Ereignisprotokolle zu löschen und so seine Spuren effektiv zu verwischen. Dieser Grad an Raffinesse macht es für Sicherheitsteams schwierig, den Angriff in Echtzeit zu erkennen und darauf zu reagieren.

Eine Ransomware, die auf Geschwindigkeit und Ausweichmanöver ausgelegt ist

Eine der innovativeren Funktionen von Cicada 3301 ist die intermittierende Verschlüsselung. Bei dieser Methode werden Teile größerer Dateien selektiv verschlüsselt, wodurch die Zeit verkürzt wird, die zum Sperren großer Datenmengen benötigt wird. Da Cicada 3301 nur Dateien über 100 MB verschlüsselt, kann es große Datenbanken und andere wichtige Dateien schnell außer Gefecht setzen, sodass Unternehmen nicht mehr arbeiten können.

Ein weiteres einzigartiges Feature ist die Möglichkeit, Dateien auch dann weiter zu verschlüsseln, wenn virtuelle Maschinen laufen. Dies geschieht mithilfe eines Parameters namens „no_vm_ss“. Mit diesem Ansatz kann die Ransomware Daten verschlüsseln, ohne dass die virtuellen Maschinen heruntergefahren werden müssen. Dadurch werden Betriebsunterbrechungen minimiert und die Ransomware bleibt länger unbemerkt.

So schützen Sie sich vor Zikaden 3301

Das Auftauchen der Cicada 3301 Ransomware unterstreicht die Notwendigkeit für Unternehmen, starke Cybersicherheitsmaßnahmen aufrechtzuerhalten. Der erste Schritt zur Abwehr von Ransomware besteht darin, sicherzustellen, dass die gesamte Software, insbesondere Betriebssysteme und Sicherheitstools, auf dem neuesten Stand ist. Schwachstellen in veralteter Software gehören zu den häufigsten Einstiegspunkten für Ransomware-Angriffe.

Darüber hinaus sollten Unternehmen einen mehrschichtigen Sicherheitsansatz implementieren, der Folgendes umfasst:

  • Regelmäßige Backups : Stellen Sie sicher, dass Daten regelmäßig gesichert und an vom Hauptnetzwerk isolierten Orten gespeichert werden. Auf diese Weise können Unternehmen ihre Daten wiederherstellen, ohne das Lösegeld zu zahlen.
  • Netzwerksegmentierung : Durch die Segmentierung ihrer Netzwerke können Organisationen die Verbreitung von Ransomware einschränken, sollte es dieser gelingen, in das System einzudringen.
  • Schulung der Mitarbeiter : Menschliche Fehler, wie das Klicken auf einen bösartigen Link oder das Herunterladen eines verdächtigen Anhangs, bleiben eine der Hauptursachen für Ransomware-Infektionen. Regelmäßige Schulungen und Phishing-Simulationen können dieses Risiko verringern.
  • Endpoint Detection and Response (EDR) : Fortschrittliche Sicherheitslösungen können Ransomware erkennen und eindämmen, bevor sie sich im Netzwerk ausbreitet. Einige Ransomware-Programme, darunter Cicada 3301, versuchen, EDR-Tools zu umgehen. Daher ist es wichtig, robuste und aktuelle Lösungen zu verwenden.

Die beunruhigende Verbindung zum Cicada 3301-Puzzle

Cicada 3301 Ransomware hat denselben Namen wie eine rätselhafte Online-Bewegung, die für die Erstellung komplexer kryptografischer Rätsel bekannt ist. Die ursprüngliche Cicada 3301-Gruppe hat sich jedoch öffentlich von dieser Ransomware-Operation distanziert und erklärt, dass sie nichts mit der kriminellen Aktivität zu tun hat. Ob dies ein Versuch der Ransomware-Entwickler ist, sich den Mythos der ursprünglichen Gruppe zunutze zu machen, oder ob es sich dabei um reinen Zufall handelt, bleibt unklar.

Ungeachtet dessen markiert das Auftauchen der Ransomware Cicada 3301 ein neues Kapitel im anhaltenden Kampf zwischen Cyberkriminellen und Cybersicherheitsexperten. Wenn Unternehmen verstehen, wie diese Ransomware funktioniert, und proaktive Schritte unternehmen, um sich dagegen zu schützen, können sie das Risiko minimieren, das nächste Opfer zu werden.

Bis Willa
September 5, 2024
Ransomware
Deutsch
September 5, 2024
Ransomware

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.