Il ransomware Cicada 3301 attacca diversi sistemi operativi

ransomware

Nuove minacce ransomware emergono regolarmente. Una delle varianti potenzialmente più pericolose è Cicada 3301, un'operazione ransomware che ha attirato l'attenzione per le sue tecniche sofisticate e la sua inquietante connessione a un criptico movimento online. Individuato per la prima volta nel giugno 2024, Cicada 3301 Ransomware sembra essere un formidabile successore di precedenti gruppi ransomware come BlackCat (noto anche come ALPHV), ereditandone e migliorandone i metodi.

Cos'è il ransomware Cicada 3301?

Cicada 3301 Ransomware è un nuovo ceppo di malware che prende di mira le piccole e medie imprese (PMI) sfruttando le vulnerabilità del sistema. Scritto nel linguaggio di programmazione Rust, questo ransomware è altamente adattabile e in grado di attaccare i sistemi basati su Windows e Linux. È emerso per la prima volta su forum underground, invitando gli affiliati a unirsi alla sua piattaforma ransomware-as-a-service (RaaS). In questo modello, i criminali informatici possono affittare il loro ransomware ad altri aggressori per una quota dei profitti.

Una caratteristica distintiva di Cicada 3301 Ransomware è la sua capacità di incorporare le credenziali degli utenti compromessi nel suo eseguibile. Questa caratteristica è fondamentale per diffondere il ransomware all'interno di una rete, poiché sfrutta strumenti legittimi come PsExec, che consente l'esecuzione remota di programmi su sistemi Windows. In questo modo, gli aggressori possono muoversi lateralmente attraverso la rete di una vittima senza destare sospetti.

Come funziona il ransomware?

Il ransomware, incluso Cicada 3301, è progettato per bloccare i file della vittima crittografandoli e quindi richiedere un pagamento, in genere in criptovaluta, per ripristinare l'accesso. Il processo di crittografia garantisce che i file siano inutilizzabili finché la vittima non paga il riscatto o non recupera i file tramite backup, se tali backup esistono e rimangono non compromessi. In molti casi, il ransomware disabilita anche gli strumenti di ripristino del sistema ed elimina i backup per impedire alla vittima di ripristinare facilmente i propri dati.

Il ransomware Cicada 3301 utilizza metodi di crittografia avanzati, in particolare l'algoritmo di crittografia ChaCha20, altamente efficiente e difficile da violare. Questo ransomware prende di mira anche estensioni di file specifiche come SQL, DOC, XLS, JPEG e molte altre, bloccando documenti aziendali critici, database e persino file multimediali personali.

Ecco anche la richiesta di riscatto rilasciata da questa infezione:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Cosa vuole Cicada 3301?

Come la maggior parte dei programmi ransomware, l'obiettivo primario di Cicada 3301 è il guadagno finanziario. Crittografando i dati preziosi di un'azienda e interrompendone le operazioni, gli aggressori possono richiedere ingenti riscatti per ripristinare l'accesso. Le piccole e medie imprese sono particolarmente vulnerabili perché spesso non dispongono delle solide difese di sicurezza informatica delle grandi aziende e potrebbero essere più inclini a pagare il riscatto per evitare tempi di inattività prolungati.

Un aspetto che rende Cicada 3301 particolarmente pericoloso è la sua potenziale collaborazione con altri gruppi di criminalità informatica. I ricercatori hanno scoperto prove che suggeriscono che gli operatori dietro Cicada 3301 potrebbero collaborare con il gruppo botnet Brutus per ottenere l'accesso iniziale alle reti aziendali. Ciò suggerisce che l'operazione ransomware potrebbe essere parte di una strategia di attacco più ampia e coordinata, aumentandone la portata e l'efficacia.

Tecniche avanzate utilizzate da Cicada 3301

Il ransomware Cicada 3301 condivide molte somiglianze con il suo predecessore, BlackCat, ma con alcuni aggiornamenti chiave. Utilizza una varietà di tattiche per massimizzare i danni ed eludere il rilevamento. Ad esempio, blocca le macchine virtuali (VM) in esecuzione sui sistemi del bersaglio per garantire che i dati critici, anche quelli ospitati in ambienti virtuali, siano crittografati. Questa tecnica è stata osservata anche in altri gruppi ransomware di alto profilo, come Megazord e Yanluowang.

Inoltre, Cicada 3301 adotta misure per disattivare i servizi di ripristino e backup del sistema, rendendo più difficile per le vittime recuperare i propri dati senza pagare il riscatto. Utilizza strumenti come bcdedit per manipolare le impostazioni di ripristino del sistema e wevtutil per cancellare tutti i registri degli eventi, cancellandone di fatto le tracce. Questo livello di sofisticatezza rende difficile per i team di sicurezza rilevare e rispondere all'attacco in tempo reale.

Un ransomware creato per la velocità e l'evasione

Una delle caratteristiche più innovative di Cicada 3301 è la crittografia intermittente. Questo metodo prevede la crittografia selettiva di parti di file più grandi, il che riduce il tempo necessario per bloccare enormi quantità di dati. Crittografando solo file più grandi di 100 MB, Cicada 3301 può rapidamente rendere inabili grandi database e altri file critici, impedendo alle aziende di funzionare.

Un'altra caratteristica unica è la possibilità di continuare a crittografare i file anche mentre le macchine virtuali sono in esecuzione, utilizzando un parametro denominato "no_vm_ss". Questo approccio consente al ransomware di crittografare i dati senza dover arrestare le macchine virtuali, riducendo al minimo l'interruzione delle operazioni e aiutando il ransomware a passare inosservato per periodi più lunghi.

Come proteggersi dalla cicala 3301

L'emergere del ransomware Cicada 3301 rafforza la necessità per le aziende di mantenere forti difese di sicurezza informatica. Il primo passo per difendersi dal ransomware è assicurarsi che tutto il software, in particolare i sistemi operativi e gli strumenti di sicurezza, sia aggiornato. Le vulnerabilità nei software obsoleti sono tra i punti di ingresso più comuni per gli attacchi ransomware.

Inoltre, le organizzazioni dovrebbero implementare un approccio di sicurezza multilivello che includa:

  • Backup regolari : assicurati che i dati vengano sottoposti a backup regolarmente e archiviati in posizioni isolate dalla rete principale. Ciò consentirà alle aziende di recuperare i propri dati senza pagare il riscatto.
  • Segmentazione della rete : segmentando le reti, le organizzazioni possono limitare la diffusione del ransomware nel caso in cui riesca a infiltrarsi nel sistema.
  • Formazione dei dipendenti : l'errore umano, come cliccare su un link dannoso o scaricare un allegato sospetto, rimane una delle principali cause di infezioni da ransomware. Una formazione regolare e simulazioni di phishing possono ridurre questo rischio.
  • Endpoint Detection and Response (EDR) : le soluzioni di sicurezza avanzate possono rilevare e mitigare il ransomware prima che si diffonda in una rete. Alcuni ransomware, tra cui Cicada 3301, tentano di aggirare gli strumenti EDR, quindi è fondamentale utilizzare soluzioni robuste e aggiornate.

L'inquietante collegamento con il puzzle Cicada 3301

Il ransomware Cicada 3301 condivide il suo nome con un enigmatico movimento online noto per la creazione di complessi enigmi crittografici. Tuttavia, il gruppo originale Cicada 3301 ha pubblicamente preso le distanze da questa operazione ransomware, affermando di non avere alcuna affiliazione con l'attività criminale. Non è chiaro se questo sia un tentativo da parte dei creatori del ransomware di prendere in prestito il misticismo del gruppo originale o una mera coincidenza.

In ogni caso, l'arrivo del ransomware Cicada 3301 segna un nuovo capitolo nella battaglia in corso tra criminali informatici e professionisti della sicurezza informatica. Comprendendo come funziona questo ransomware e adottando misure proattive per difendersi, le aziende possono ridurre al minimo il rischio di diventare la prossima vittima.

Entro il Willa
September 5, 2024
Ransomware
Italiano
September 5, 2024
Ransomware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.