Cicada 3301 ランサムウェアが複数のオペレーティング システムを攻撃

新しいランサムウェアの脅威は定期的に出現します。最も潜在的に危険な亜種の 1 つが Cicada 3301 です。これは、洗練された手法と、謎めいたオンライン ムーブメントとの不気味なつながりで注目を集めているランサムウェアです。2024 年 6 月に初めて発見された Cicada 3301 ランサムウェアは、BlackCat (ALPHV とも呼ばれる) などの以前のランサムウェア グループの手法を継承し、改良した強力な後継者のようです。

Cicada 3301 ランサムウェアとは何ですか?

Cicada 3301 ランサムウェアは、システムの脆弱性を悪用して中小企業 (SMB) をターゲットとする新しいマルウェアです。Rust プログラミング言語で記述されたこのランサムウェアは、適応性が高く、Windows および Linux ベースのシステムを攻撃できます。このランサムウェアは、最初にアンダーグラウンド フォーラムで出現し、アフィリエートにランサムウェア サービス (RaaS) プラットフォームへの参加を呼びかけました。このモデルでは、サイバー犯罪者はランサムウェアを他の攻撃者に貸し出して、利益の一部を得ることができます。

Cicada 3301 ランサムウェアの特徴は、侵害したユーザーの認証情報をその実行ファイルに埋め込む機能です。この機能は、Windows システムでプログラムをリモート実行できる PsExec などの正規ツールを活用するため、ネットワーク内でランサムウェアを拡散させるのに不可欠です。これにより、攻撃者は疑いを持たれることなく、被害者のネットワークを横方向に移動できます。

ランサムウェアはどのように機能するのか?

Cicada 3301 を含むランサムウェアは、被害者のファイルを暗号化してロックし、アクセスを回復するために通常は暗号通貨で支払いを要求するように設計されています。暗号化プロセスにより、被害者が身代金を支払うか、バックアップからファイルを復元するまで (バックアップが存在し、侵害されていない場合)、ファイルは使用できなくなります。多くの場合、ランサムウェアはシステム回復ツールを無効にし、バックアップを削除して、被害者がデータを簡単に復元できないようにします。

Cicada 3301 ランサムウェアは、高度な暗号化方法、特に ChaCha20 暗号化アルゴリズムを使用します。これは非常に効率的で解読が困難です。このランサムウェアは、SQL、DOC、XLS、JPEG などの特定のファイル拡張子もターゲットにし、重要なビジネス ドキュメント、データベース、さらには個人のメディア ファイルまでもロックします。

この感染によってドロップされる身代金要求メッセージは次のとおりです。

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

• Provide you with proof that the data has been stolen;
• Delete all stolen data;
• Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Cicada 3301 は何を望んでいるのか?

ほとんどのランサムウェア プログラムと同様に、Cicada 3301 の主な目的は金銭的利益を得ることです。企業の貴重なデータを暗号化して業務を停止させることで、攻撃者はアクセスを回復するために多額の身代金を要求することができます。中小企業は、大企業のような強力なサイバー セキュリティ防御を備えていないことが多く、ダウンタイムの長期化を避けるために身代金を支払う傾向があるため、特に脆弱です。

Cicada 3301 が特に危険なのは、他のサイバー犯罪グループと連携している可能性があることです。研究者は、Cicada 3301 の背後にいるオペレーターが、企業ネットワークへの最初のアクセスを得るために Brutus ボットネット グループと連携している可能性があることを示す証拠を発見しました。これは、ランサムウェアの活動が、その範囲と効果を高める、より大規模で協調的な攻撃戦略の一部である可能性があることを示唆しています。

Cicada 3301 が使用する高度な技術

Cicada 3301 ランサムウェアは、その前身である BlackCat と多くの類似点がありますが、いくつかの重要なアップグレードが行われています。さまざまな戦術を採用して被害を最大化し、検出を回避します。たとえば、ターゲットのシステムで実行されている仮想マシン (VM) を停止して、仮想環境にホストされているものも含め、重要なデータが暗号化されていることを確認します。この手法は、Megazord や Yanluowang などの他の有名なランサムウェア グループでも確認されています。

さらに、Cicada 3301 はシステム回復およびバックアップ サービスを無効にする手順を踏むため、被害者が身代金を支払わずにデータを回復することはさらに困難です。システム回復設定を操作するbcdeditや、すべてのイベント ログを消去するwevtutilなどのツールを使用することで、痕跡を効果的に消去します。このレベルの洗練度により、セキュリティ チームがリアルタイムで攻撃を検出して対応することが困難になります。

スピードと回避のために作られたランサムウェア

Cicada 3301 の革新的な機能の 1 つは、断続的な暗号化です。この方法では、大きなファイルの一部を選択的に暗号化し、大量のデータをロックするのにかかる時間を短縮します。100 MB を超えるファイルのみを暗号化することで、Cicada 3301 は大規模なデータベースやその他の重要なファイルを迅速に無効にし、ビジネスを機能不能にすることができます。

もう 1 つのユニークな機能は、「no_vm_ss」というパラメータを使用して、仮想マシンの実行中でもファイルの暗号化を継続できることです。このアプローチにより、ランサムウェアは仮想マシンをシャットダウンせずにデータを暗号化できるため、操作の中断が最小限に抑えられ、ランサムウェアが長期間気付かれずに存在し続けることができます。

セミから身を守る方法 3301

Cicada 3301 ランサムウェアの出現により、企業が強力なサイバーセキュリティ防御を維持する必要性が高まっています。ランサムウェアに対する防御の第一歩は、すべてのソフトウェア、特にオペレーティング システムとセキュリティ ツールが最新の状態であることを確認することです。古いソフトウェアの脆弱性は、ランサムウェア攻撃の最も一般的な侵入口の 1 つです。

さらに、組織は次のような多層セキュリティ アプローチを実装する必要があります。

• 定期的なバックアップ: データが定期的にバックアップされ、メイン ネットワークから隔離された場所に保存されていることを確認します。これにより、企業は身代金を支払うことなくデータを回復できます。
• ネットワークのセグメンテーション: ネットワークをセグメント化することで、組織はランサムウェアがシステムに侵入した場合でもその拡散を制限できます。
• 従業員のトレーニング: 悪意のあるリンクをクリックしたり、疑わしい添付ファイルをダウンロードしたりするなどの人為的ミスは、依然としてランサムウェア感染の主な原因です。定期的なトレーニングとフィッシング シミュレーションにより、このリスクを軽減できます。
• エンドポイント検出および対応 (EDR) : 高度なセキュリティ ソリューションは、ランサムウェアがネットワーク全体に広がる前に検出して軽減することができます。Cicada 3301 などの一部のランサムウェアは EDR ツールを回避しようとするため、堅牢で最新のソリューションを使用することが重要です。

セミ3301パズルとの不穏なつながり

Cicada 3301 ランサムウェアは、複雑な暗号パズルを作成することで知られる謎めいたオンライン ムーブメントと同じ名前を持っています。ただし、元の Cicada 3301 グループは、このランサムウェア活動とは関係がないと公に表明し、この犯罪行為から距離を置いています。これがランサムウェア作成者が元のグループの神秘性を借りようとしているのか、それとも単なる偶然なのかは不明です。

いずれにせよ、Cicada 3301 ランサムウェアの出現は、サイバー犯罪者とサイバーセキュリティ専門家の間で続いている戦いに新たな章を刻むものです。このランサムウェアの動作を理解し、防御するための積極的な対策を講じることで、企業は次の被害者になるリスクを最小限に抑えることができます。