Le ransomware Cicada 3301 attaque plusieurs systèmes d'exploitation

ransomware

De nouvelles menaces de ransomware apparaissent régulièrement. L'une des variantes potentiellement les plus dangereuses est Cicada 3301, une opération de ransomware qui a attiré l'attention pour ses techniques sophistiquées et son lien étrange avec un mouvement en ligne cryptique. Repéré pour la première fois en juin 2024, Cicada 3301 Ransomware semble être un formidable successeur des groupes de ransomware précédents comme BlackCat (également connu sous le nom d'ALPHV), héritant et améliorant leurs méthodes.

Qu'est-ce que le ransomware Cicada 3301 ?

Cicada 3301 Ransomware est une nouvelle souche de malware qui cible les petites et moyennes entreprises (PME) en exploitant les vulnérabilités des systèmes. Écrit dans le langage de programmation Rust, ce ransomware est très adaptable et capable d'attaquer les systèmes Windows et Linux. Il est apparu pour la première fois sur des forums clandestins, invitant les affiliés à rejoindre sa plateforme de ransomware en tant que service (RaaS). Dans ce modèle, les cybercriminels peuvent louer leur ransomware à d'autres attaquants en échange d'une part des bénéfices.

L'une des caractéristiques distinctives du ransomware Cicada 3301 est sa capacité à intégrer les identifiants des utilisateurs compromis dans son exécutable. Cette fonctionnalité est essentielle pour la propagation du ransomware au sein d'un réseau, car elle exploite des outils légitimes comme PsExec, qui permet l'exécution à distance de programmes sur les systèmes Windows. Ce faisant, les attaquants peuvent se déplacer latéralement sur le réseau d'une victime sans éveiller les soupçons.

Comment fonctionne un ransomware ?

Les ransomwares, dont Cicada 3301, sont conçus pour verrouiller les fichiers d'une victime en les chiffrant, puis en exigeant un paiement, généralement en cryptomonnaie, pour restaurer l'accès. Le processus de chiffrement garantit que les fichiers sont inutilisables jusqu'à ce que la victime paie la rançon ou récupère les fichiers grâce à des sauvegardes, si de telles sauvegardes existent et restent intactes. Dans de nombreux cas, les ransomwares désactivent également les outils de récupération du système et suppriment les sauvegardes pour empêcher la victime de restaurer facilement ses données.

Le ransomware Cicada 3301 utilise des méthodes de cryptage avancées, notamment l'algorithme de cryptage ChaCha20, qui est très efficace et difficile à casser. Ce ransomware cible également des extensions de fichiers spécifiques telles que SQL, DOC, XLS, JPEG et bien d'autres, verrouillant des documents commerciaux critiques, des bases de données et même des fichiers multimédias personnels.

Voici également la note de rançon que cette infection laisse tomber :

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Que veut Cicada 3301 ?

Comme la plupart des programmes de ransomware, l'objectif principal de Cicada 3301 est le gain financier. En chiffrant les précieuses données d'une entreprise et en interrompant ses opérations, les attaquants peuvent exiger de lourdes rançons pour rétablir l'accès. Les petites et moyennes entreprises sont particulièrement vulnérables car elles ne disposent souvent pas des solides défenses de cybersécurité des grandes entreprises et peuvent être plus enclines à payer la rançon pour éviter des temps d'arrêt prolongés.

L’un des aspects qui rend Cicada 3301 particulièrement dangereux est sa collaboration potentielle avec d’autres groupes de cybercriminalité. Les chercheurs ont découvert des preuves suggérant que les opérateurs à l’origine de Cicada 3301 pourraient travailler avec le groupe de botnet Brutus pour obtenir un accès initial aux réseaux d’entreprise. Cela suggère que l’opération de ransomware pourrait faire partie d’une stratégie d’attaque coordonnée plus vaste, augmentant sa portée et son efficacité.

Techniques avancées utilisées par Cicada 3301

Le ransomware Cicada 3301 partage de nombreuses similitudes avec son prédécesseur, BlackCat, mais avec quelques améliorations clés. Il utilise une variété de tactiques pour maximiser les dégâts et échapper à la détection. Par exemple, il arrête les machines virtuelles (VM) exécutées sur les systèmes de la cible pour garantir que les données critiques, même celles hébergées dans des environnements virtuels, sont cryptées. Cette technique a également été observée dans d'autres groupes de ransomware de premier plan, tels que Megazord et Yanluowang.

De plus, Cicada 3301 prend des mesures pour désactiver les services de récupération et de sauvegarde du système, ce qui rend plus difficile pour les victimes de récupérer leurs données sans payer la rançon. Il utilise des outils comme bcdedit pour manipuler les paramètres de récupération du système et wevtutil pour effacer tous les journaux d'événements, effaçant ainsi efficacement ses traces. Ce niveau de sophistication rend difficile pour les équipes de sécurité de détecter et de répondre à l'attaque en temps réel.

Un ransomware conçu pour la vitesse et l'évasion

L'une des fonctionnalités les plus innovantes de Cicada 3301 est le chiffrement intermittent. Cette méthode consiste à chiffrer de manière sélective des parties de fichiers plus volumineux, ce qui réduit le temps nécessaire pour verrouiller des quantités massives de données. En chiffrant uniquement les fichiers de plus de 100 Mo, Cicada 3301 peut rapidement neutraliser les bases de données volumineuses et autres fichiers critiques, empêchant ainsi les entreprises de fonctionner.

Une autre caractéristique unique est la possibilité de continuer à crypter les fichiers même lorsque les machines virtuelles sont en cours d'exécution, à l'aide d'un paramètre nommé « no_vm_ss ». Cette approche permet au ransomware de crypter les données sans avoir à arrêter les machines virtuelles, ce qui minimise les perturbations des opérations et permet au ransomware de rester inaperçu pendant des périodes plus longues.

Comment se protéger de la cigale 3301

L’émergence du ransomware Cicada 3301 renforce la nécessité pour les entreprises de maintenir de solides défenses en matière de cybersécurité. La première étape pour se défendre contre les ransomwares consiste à s’assurer que tous les logiciels, en particulier les systèmes d’exploitation et les outils de sécurité, sont à jour. Les vulnérabilités des logiciels obsolètes sont parmi les points d’entrée les plus courants des attaques de ransomware.

En outre, les organisations doivent mettre en œuvre une approche de sécurité multicouche qui comprend :

  • Sauvegardes régulières : Assurez-vous que les données sont sauvegardées régulièrement et stockées dans des emplacements isolés du réseau principal. Cela permettra aux entreprises de récupérer leurs données sans payer de rançon.
  • Segmentation du réseau : En segmentant leurs réseaux, les organisations peuvent limiter la propagation des ransomwares s’ils parviennent à s’infiltrer dans le système.
  • Formation des employés : L'erreur humaine, comme le fait de cliquer sur un lien malveillant ou de télécharger une pièce jointe suspecte, reste l'une des principales causes d'infection par ransomware. Des formations régulières et des simulations de phishing peuvent réduire ce risque.
  • Endpoint Detection and Response (EDR) : les solutions de sécurité avancées peuvent détecter et atténuer les ransomwares avant qu'ils ne se propagent sur un réseau. Certains ransomwares, notamment Cicada 3301, tentent de contourner les outils EDR. Il est donc essentiel d'utiliser des solutions robustes et à jour.

Le lien troublant avec le puzzle Cicada 3301

Le ransomware Cicada 3301 partage son nom avec un mouvement en ligne énigmatique connu pour créer des énigmes cryptographiques complexes. Cependant, le groupe original Cicada 3301 s'est publiquement distancié de cette opération de ransomware, déclarant qu'il n'avait aucune affiliation avec l'activité criminelle. On ne sait pas s'il s'agit d'une tentative des créateurs du ransomware d'emprunter à la mystique du groupe d'origine ou d'une simple coïncidence.

Quoi qu’il en soit, l’arrivée du ransomware Cicada 3301 marque un nouveau chapitre dans la bataille en cours entre les cybercriminels et les professionnels de la cybersécurité. En comprenant le fonctionnement de ce ransomware et en prenant des mesures proactives pour s’en défendre, les entreprises peuvent minimiser leur risque de devenir la prochaine victime.

Par Willa
September 5, 2024
Ransomware
Français
September 5, 2024
Ransomware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.