Cicada 3301 Ransomware atakuje kilka systemów operacyjnych

ransomware

Nowe zagrożenia ransomware pojawiają się regularnie. Jedną z najbardziej potencjalnie niebezpiecznych odmian jest Cicada 3301, operacja ransomware, która przyciągnęła uwagę ze względu na swoje wyrafinowane techniki i niepokojące powiązanie z tajemniczym ruchem online. Po raz pierwszy zauważony w czerwcu 2024 r. Cicada 3301 Ransomware wydaje się być groźnym następcą poprzednich grup ransomware, takich jak BlackCat (znany również jako ALPHV), dziedzicząc i ulepszając ich metody.

Czym jest Cicada 3301 Ransomware?

Cicada 3301 Ransomware to nowy szczep złośliwego oprogramowania, który atakuje małe i średnie przedsiębiorstwa (SMB) poprzez wykorzystywanie luk w zabezpieczeniach systemu. Ten ransomware, napisany w języku programowania Rust, jest wysoce adaptowalny i zdolny do atakowania systemów Windows i Linux. Po raz pierwszy pojawił się na forach podziemnych, zapraszając partnerów do dołączenia do platformy ransomware-as-a-service (RaaS). W tym modelu cyberprzestępcy mogą wydzierżawiać swoje ransomware innym atakującym w zamian za udział w zyskach.

Cechą charakterystyczną oprogramowania Cicada 3301 Ransomware jest możliwość osadzania danych uwierzytelniających zainfekowanych użytkowników w pliku wykonywalnym. Ta funkcja jest kluczowa dla rozprzestrzeniania oprogramowania ransomware w sieci, ponieważ wykorzystuje legalne narzędzia, takie jak PsExec, które umożliwiają zdalne wykonywanie programów w systemach Windows. Dzięki temu atakujący mogą poruszać się bocznie po sieci ofiary, nie wzbudzając podejrzeń.

Jak działa ransomware?

Oprogramowanie ransomware, w tym Cicada 3301, ma na celu zablokowanie plików ofiary poprzez ich zaszyfrowanie, a następnie żądanie zapłaty, zazwyczaj w kryptowalucie, w celu przywrócenia dostępu. Proces szyfrowania zapewnia, że pliki są bezużyteczne, dopóki ofiara nie zapłaci okupu lub nie odzyska plików za pomocą kopii zapasowych — jeśli takie kopie zapasowe istnieją i pozostają nienaruszone. W wielu przypadkach oprogramowanie ransomware wyłącza również narzędzia do odzyskiwania systemu i usuwa kopie zapasowe, aby uniemożliwić ofierze łatwe przywrócenie danych.

Cicada 3301 Ransomware wykorzystuje zaawansowane metody szyfrowania, w szczególności algorytm szyfrowania ChaCha20, który jest wysoce wydajny i trudny do złamania. Ten ransomware atakuje również określone rozszerzenia plików, takie jak SQL, DOC, XLS, JPEG i wiele innych, blokując ważne dokumenty biznesowe, bazy danych, a nawet osobiste pliki multimedialne.

Oto także żądanie okupu, które pozostawia ta infekcja:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Czego chce Cicada 3301?

Podobnie jak większość programów ransomware, głównym celem Cicada 3301 jest zysk finansowy. Szyfrując cenne dane firmy i wstrzymując jej działalność, atakujący mogą żądać wysokich okupów, aby przywrócić dostęp. Małe i średnie firmy są szczególnie narażone, ponieważ często brakuje im solidnych zabezpieczeń cybernetycznych większych korporacji i mogą być bardziej skłonne zapłacić okup, aby uniknąć przedłużonego przestoju.

Jednym z aspektów, który sprawia, że Cicada 3301 jest szczególnie niebezpieczna, jest jej potencjalna współpraca z innymi grupami cyberprzestępczymi. Badacze odkryli dowody sugerujące, że operatorzy Cicada 3301 mogą współpracować z grupą botnet Brutus w celu uzyskania wstępnego dostępu do sieci przedsiębiorstw. Sugeruje to, że operacja ransomware może być częścią większej, skoordynowanej strategii ataku, zwiększając jej zasięg i skuteczność.

Zaawansowane techniki stosowane przez Cicada 3301

Ransomware Cicada 3301 ma wiele podobieństw do swojego poprzednika, BlackCat, ale z kilkoma kluczowymi ulepszeniami. Stosuje różne taktyki, aby zmaksymalizować szkody i uniknąć wykrycia. Na przykład zatrzymuje maszyny wirtualne (VM) działające w systemach docelowych, aby zapewnić szyfrowanie krytycznych danych, nawet tych hostowanych w środowiskach wirtualnych. Tę technikę zaobserwowano również w innych znanych grupach ransomware, takich jak Megazord i Yanluowang.

Ponadto Cicada 3301 podejmuje kroki w celu wyłączenia usług odzyskiwania systemu i tworzenia kopii zapasowych, co utrudnia ofiarom odzyskanie danych bez płacenia okupu. Używa narzędzi takich jak bcdedit do manipulowania ustawieniami odzyskiwania systemu i wevtutil do czyszczenia wszystkich dzienników zdarzeń, skutecznie usuwając swoje ślady. Ten poziom wyrafinowania utrudnia zespołom ds. bezpieczeństwa wykrywanie i reagowanie na ataki w czasie rzeczywistym.

Ransomware stworzony dla szybkości i unikania ataków

Jedną z bardziej innowacyjnych funkcji Cicada 3301 jest przerywane szyfrowanie. Ta metoda polega na selektywnym szyfrowaniu części większych plików, co skraca czas potrzebny do zablokowania ogromnych ilości danych. Szyfrując tylko pliki większe niż 100 MB, Cicada 3301 może szybko unieruchomić duże bazy danych i inne krytyczne pliki, uniemożliwiając działanie firm.

Kolejną unikalną cechą jest możliwość kontynuowania szyfrowania plików nawet podczas działania maszyn wirtualnych, przy użyciu parametru o nazwie „no_vm_ss”. To podejście pozwala ransomware na szyfrowanie danych bez konieczności wyłączania maszyn wirtualnych, minimalizując zakłócenia w działaniu i pomagając ransomware pozostać niezauważonym przez dłuższe okresy.

Jak chronić się przed cykadą 3301

Pojawienie się Cicada 3301 Ransomware wzmacnia potrzebę utrzymywania przez firmy silnych zabezpieczeń cyberbezpieczeństwa. Pierwszym krokiem w obronie przed ransomware jest upewnienie się, że całe oprogramowanie, w szczególności systemy operacyjne i narzędzia bezpieczeństwa, jest aktualne. Luki w przestarzałym oprogramowaniu są jednymi z najczęstszych punktów wejścia dla ataków ransomware.

Ponadto organizacje powinny wdrożyć wielowarstwowe podejście do kwestii bezpieczeństwa, obejmujące:

  • Regularne kopie zapasowe : Upewnij się, że dane są regularnie kopiowane zapasowo i przechowywane w lokalizacjach odizolowanych od głównej sieci. Pozwoli to firmom odzyskać swoje dane bez płacenia okupu.
  • Segmentacja sieci : Segmentując swoje sieci, organizacje mogą ograniczyć rozprzestrzenianie się oprogramowania ransomware, jeśli uda mu się zinfiltrować system.
  • Szkolenie pracowników : Błąd ludzki, taki jak kliknięcie złośliwego łącza lub pobranie podejrzanego załącznika, pozostaje główną przyczyną infekcji ransomware. Regularne szkolenia i symulacje phishingu mogą zmniejszyć to ryzyko.
  • Endpoint Detection and Response (EDR) : Zaawansowane rozwiązania bezpieczeństwa mogą wykrywać i łagodzić ataki ransomware, zanim rozprzestrzenią się w sieci. Niektóre ransomware, w tym Cicada 3301, próbują ominąć narzędzia EDR, dlatego kluczowe jest korzystanie z solidnych, aktualnych rozwiązań.

Niepokojące połączenie z cykadą 3301 Puzzle

Cicada 3301 Ransomware dzieli swoją nazwę z enigmatycznym ruchem internetowym znanym z tworzenia skomplikowanych zagadek kryptograficznych. Jednak oryginalna grupa Cicada 3301 publicznie zdystansowała się od tej operacji ransomware, stwierdzając, że nie ma żadnych powiązań z działalnością przestępczą. Czy jest to próba twórców ransomware, aby zapożyczyć z mistycyzmu oryginalnej grupy, czy też zwykły zbieg okoliczności, pozostaje niejasne.

Niezależnie od tego, pojawienie się ransomware Cicada 3301 oznacza nowy rozdział w trwającej walce między cyberprzestępcami a profesjonalistami ds. cyberbezpieczeństwa. Rozumiejąc, jak działa ten ransomware i podejmując proaktywne kroki w celu obrony przed nim, firmy mogą zminimalizować ryzyko stania się kolejną ofiarą.

Do Willa
September 5, 2024
Ransomware
Polski
September 5, 2024
Ransomware

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.