Cicada 3301 Ransomware angriper flere operativsystemer

ransomware

Nye løsepengevaretrusler dukker opp regelmessig. En av de mest potensielt farlige variantene er Cicada 3301, en løsepengevareoperasjon som har fått oppmerksomhet for sine sofistikerte teknikker og skumle forbindelse til en kryptisk nettbevegelse. Først oppdaget i juni 2024, ser Cicada 3301 Ransomware ut til å være en formidabel etterfølger til tidligere løsepengevaregrupper som BlackCat (også kjent som ALPHV), som arver og forbedrer metodene deres.

Hva er Cicada 3301 Ransomware?

Cicada 3301 Ransomware er en ny malware-stamme som retter seg mot små og mellomstore bedrifter (SMB) ved å utnytte systemsårbarheter. Denne løsepengevaren er skrevet på programmeringsspråket Rust, og er svært tilpasningsdyktig og i stand til å angripe Windows- og Linux-baserte systemer. Den dukket først opp på underjordiske fora, og inviterte tilknyttede selskaper til å bli med på ransomware-as-a-service (RaaS)-plattformen. I denne modellen kan nettkriminelle leie ut løsepengevarene sine til andre angripere for en del av fortjenesten.

Et særtrekk ved Cicada 3301 Ransomware er dens evne til å bygge inn legitimasjonen til kompromitterte brukere i den kjørbare filen. Denne funksjonen er avgjørende for å spre løsepengevare i et nettverk, siden den utnytter legitime verktøy som PsExec, som muliggjør fjernkjøring av programmer på Windows-systemer. Ved å gjøre det kan angriperne bevege seg sideveis over et offers nettverk uten å vekke mistanke.

Hvordan fungerer ransomware?

Ransomware, inkludert Cicada 3301, er designet for å låse opp et offers filer ved å kryptere dem og deretter kreve betaling, vanligvis i kryptovaluta, for å gjenopprette tilgangen. Krypteringsprosessen sikrer at filene er ubrukelige inntil offeret betaler løsepenger eller gjenoppretter filene gjennom sikkerhetskopier – hvis slike sikkerhetskopier eksisterer og forblir kompromissløse. I mange tilfeller deaktiverer løsepengevare også systemgjenopprettingsverktøy og sletter sikkerhetskopier for å forhindre at offeret enkelt gjenoppretter dataene sine.

Cicada 3301 Ransomware bruker avanserte krypteringsmetoder, spesielt ChaCha20-krypteringsalgoritmen, som er svært effektiv og vanskelig å bryte. Denne løsepengevaren retter seg også mot spesifikke filutvidelser som SQL, DOC, XLS, JPEG og mange andre, og låser opp kritiske forretningsdokumenter, databaser og til og med personlige mediefiler.

Her er også løsepengene denne infeksjonen faller:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Hva vil Cicada 3301?

Som de fleste løsepengeprogrammer, er Cicada 3301s primære mål økonomisk gevinst. Ved å kryptere en virksomhets verdifulle data og stoppe driften, kan angripere kreve store løsepenger for å gjenopprette tilgangen. Små til mellomstore bedrifter er spesielt sårbare fordi de ofte mangler det robuste cybersikkerhetsforsvaret til større selskaper og kan være mer tilbøyelige til å betale løsepenger for å unngå langvarig nedetid.

Et aspekt som gjør Cicada 3301 spesielt farlig, er dets potensielle samarbeid med andre cyberkriminalitetsgrupper. Forskere har avdekket bevis som tyder på at operatørene bak Cicada 3301 kan jobbe med Brutus botnet-gruppen for å få første tilgang til bedriftsnettverk. Dette antyder at løsepengevareoperasjonen kan være en del av en større, koordinert angrepsstrategi, som øker rekkevidden og effektiviteten.

Avanserte teknikker brukt av Cicada 3301

Cicada 3301 løsepengevare deler mange likheter med sin forgjenger, BlackCat, men med noen viktige oppgraderinger. Den bruker en rekke taktikker for å maksimere skade og unngå oppdagelse. For eksempel stopper den virtuelle maskiner (VM-er) som kjører på målets systemer for å sikre at kritiske data, selv de som er vert i virtuelle miljøer, er kryptert. Denne teknikken har også blitt observert i andre høyprofilerte løsepengevaregrupper, som Megazord og Yanluowang.

I tillegg tar Cicada 3301 skritt for å deaktivere systemgjenopprettings- og sikkerhetskopieringstjenester, noe som gjør det vanskeligere for ofre å gjenopprette dataene sine uten å betale løsepenger. Den bruker verktøy som bcdedit for å manipulere systemgjenopprettingsinnstillinger og wevtutil for å slette alle hendelseslogger, og effektivt slette sporene. Dette sofistikerte nivået gjør det utfordrende for sikkerhetsteam å oppdage og svare på angrepet i sanntid.

En løsepengevare bygget for hastighet og unndragelse

En av Cicada 3301s mer innovative funksjoner er intermitterende kryptering. Denne metoden innebærer selektiv kryptering av deler av større filer, noe som reduserer tiden det tar å låse opp enorme mengder data. Ved kun å kryptere filer som er større enn 100 MB, kan Cicada 3301 raskt sette store databaser og andre kritiske filer ut av funksjon, slik at bedrifter ikke kan fungere.

En annen unik funksjon er muligheten til å fortsette å kryptere filer selv mens virtuelle maskiner kjører, ved å bruke en parameter kalt "no_vm_ss." Denne tilnærmingen lar løsepengevaren kryptere data uten å måtte slå av de virtuelle maskinene, minimere forstyrrelser i driften og hjelpe løsepengevaren forbli ubemerket i lengre perioder.

Slik beskytter du deg selv mot Cicada 3301

Fremveksten av Cicada 3301 Ransomware forsterker behovet for bedrifter for å opprettholde sterke nettsikkerhetsforsvar. Det første trinnet i å forsvare seg mot løsepengevare er å sikre at all programvare, spesielt operativsystemer og sikkerhetsverktøy, er oppdatert. Sårbarheter i utdatert programvare er blant de vanligste inngangspunktene for ransomware-angrep.

I tillegg bør organisasjoner implementere en flerlags sikkerhetstilnærming som inkluderer:

  • Vanlige sikkerhetskopier : Sørg for at data blir sikkerhetskopiert regelmessig og lagret på steder isolert fra hovednettverket. Dette vil tillate bedrifter å gjenopprette dataene sine uten å betale løsepenger.
  • Nettverkssegmentering : Ved å segmentere nettverkene sine kan organisasjoner begrense spredningen av løsepengevare dersom den skulle klare å infiltrere systemet.
  • Opplæring av ansatte : Menneskelige feil, som å klikke på en ondsinnet lenke eller laste ned et mistenkelig vedlegg, er fortsatt en ledende årsak til løsepengevareinfeksjoner. Regelmessig trening og phishing-simuleringer kan redusere denne risikoen.
  • Endpoint Detection and Response (EDR) : Avanserte sikkerhetsløsninger kan oppdage og redusere løsepengevare før den sprer seg over et nettverk. Noen løsepengeprogrammer, inkludert Cicada 3301, forsøker å omgå EDR-verktøy, så det er avgjørende å bruke robuste, oppdaterte løsninger.

Den foruroligende forbindelsen til Cicada 3301-puslespillet

Cicada 3301 Ransomware deler navnet sitt med en gåtefull nettbevegelse kjent for å lage komplekse kryptografiske gåter. Imidlertid har den opprinnelige Cicada 3301-gruppen offentlig tatt avstand fra denne løsepengevareoperasjonen, og uttalt at den ikke har noen tilknytning til den kriminelle aktiviteten. Om dette er et forsøk fra løsepengevareskaperne på å låne fra mystikken til den opprinnelige gruppen eller en ren tilfeldighet er fortsatt uklart.

Uansett markerer ankomsten av Cicada 3301 løsepengevare et nytt kapittel i den pågående kampen mellom cyberkriminelle og cybersikkerhetseksperter. Ved å forstå hvordan denne løsepengevaren fungerer og ta proaktive tiltak for å forsvare seg mot den, kan bedrifter minimere risikoen for å bli det neste offeret.

Innen Willa
September 5, 2024
Ransomware
Norsk
September 5, 2024
Ransomware

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.