Cicada 3301 Ransomware ataca vários sistemas operacionais

ransomware

Novas ameaças de ransomware surgem regularmente. Uma das variantes mais potencialmente perigosas é a Cicada 3301, uma operação de ransomware que atraiu atenção por suas técnicas sofisticadas e conexão assustadora com um movimento online enigmático. Identificado pela primeira vez em junho de 2024, o Cicada 3301 Ransomware parece ser um sucessor formidável de grupos de ransomware anteriores como o BlackCat (também conhecido como ALPHV), herdando e aprimorando seus métodos.

O que é o Cicada 3301 Ransomware?

Cicada 3301 Ransomware é uma nova cepa de malware que tem como alvo pequenas e médias empresas (PMEs) explorando vulnerabilidades do sistema. Escrito na linguagem de programação Rust, esse ransomware é altamente adaptável e capaz de atacar sistemas baseados em Windows e Linux. Ele surgiu pela primeira vez em fóruns clandestinos, convidando afiliados a se juntarem à sua plataforma de ransomware como serviço (RaaS). Nesse modelo, os cibercriminosos podem alugar seu ransomware para outros invasores por uma parte dos lucros.

Uma característica distintiva do Cicada 3301 Ransomware é sua capacidade de incorporar as credenciais de usuários comprometidos em seu executável. Esse recurso é crucial para espalhar o ransomware dentro de uma rede, pois ele aproveita ferramentas legítimas como o PsExec, que permite a execução remota de programas em sistemas Windows. Ao fazer isso, os invasores podem se mover lateralmente pela rede de uma vítima sem levantar suspeitas.

Como funciona o ransomware?

Ransomware, incluindo Cicada 3301, é projetado para bloquear os arquivos de uma vítima criptografando-os e então exigir pagamento, normalmente em criptomoeda, para restaurar o acesso. O processo de criptografia garante que os arquivos fiquem inutilizáveis até que a vítima pague o resgate ou recupere os arquivos por meio de backups — se tais backups existirem e permanecerem intactos. Em muitos casos, o ransomware também desabilita ferramentas de recuperação do sistema e exclui backups para impedir que a vítima restaure facilmente seus dados.

O Cicada 3301 Ransomware utiliza métodos avançados de criptografia, notavelmente o algoritmo de criptografia ChaCha20, que é altamente eficiente e difícil de quebrar. Este ransomware também tem como alvo extensões de arquivo específicas como SQL, DOC, XLS, JPEG e muitas outras, bloqueando documentos comerciais críticos, bancos de dados e até mesmo arquivos de mídia pessoais.

Aqui está também a nota de resgate que esta infecção deixa cair:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

O que a Cigarra 3301 quer?

Como a maioria dos programas de ransomware, o objetivo principal do Cicada 3301 é o ganho financeiro. Ao criptografar os dados valiosos de uma empresa e interromper suas operações, os invasores podem exigir resgates pesados para restaurar o acesso. Pequenas e médias empresas são particularmente vulneráveis porque muitas vezes não têm as defesas de segurança cibernética robustas de grandes corporações e podem estar mais inclinadas a pagar o resgate para evitar tempo de inatividade prolongado.

Um aspecto que torna o Cicada 3301 especialmente perigoso é sua potencial colaboração com outros grupos de crimes cibernéticos. Pesquisadores descobriram evidências sugerindo que os operadores por trás do Cicada 3301 podem estar trabalhando com o grupo de botnet Brutus para obter acesso inicial às redes empresariais. Isso sugere que a operação de ransomware pode ser parte de uma estratégia de ataque maior e coordenada, aumentando seu alcance e eficácia.

Técnicas avançadas usadas pela cigarra 3301

O ransomware Cicada 3301 compartilha muitas similaridades com seu antecessor, BlackCat, mas com algumas atualizações importantes. Ele emprega uma variedade de táticas para maximizar os danos e evitar a detecção. Por exemplo, ele interrompe máquinas virtuais (VMs) em execução nos sistemas do alvo para garantir que dados críticos, mesmo aqueles hospedados em ambientes virtuais, sejam criptografados. Essa técnica também foi observada em outros grupos de ransomware de alto perfil, como Megazord e Yanluowang.

Além disso, o Cicada 3301 toma medidas para desabilitar os serviços de recuperação e backup do sistema, tornando mais difícil para as vítimas recuperarem seus dados sem pagar o resgate. Ele usa ferramentas como bcdedit para manipular as configurações de recuperação do sistema e wevtutil para limpar todos os logs de eventos, efetivamente apagando seus rastros. Esse nível de sofisticação torna desafiador para as equipes de segurança detectar e responder ao ataque em tempo real.

Um Ransomware criado para velocidade e evasão

Um dos recursos mais inovadores do Cicada 3301 é a criptografia intermitente. Esse método envolve criptografar seletivamente partes de arquivos maiores, o que reduz o tempo necessário para bloquear grandes quantidades de dados. Ao criptografar apenas arquivos maiores que 100 MB, o Cicada 3301 pode incapacitar rapidamente grandes bancos de dados e outros arquivos críticos, deixando as empresas incapazes de funcionar.

Outro recurso exclusivo é a capacidade de continuar criptografando arquivos mesmo enquanto as máquinas virtuais estão em execução, usando um parâmetro chamado "no_vm_ss". Essa abordagem permite que o ransomware criptografe dados sem precisar desligar as máquinas virtuais, minimizando a interrupção das operações e ajudando o ransomware a permanecer despercebido por períodos mais longos.

Como se proteger da cigarra 3301

O surgimento do Cicada 3301 Ransomware reforça a necessidade de as empresas manterem fortes defesas de segurança cibernética. O primeiro passo na defesa contra ransomware é garantir que todos os softwares, especialmente sistemas operacionais e ferramentas de segurança, estejam atualizados. Vulnerabilidades em softwares desatualizados estão entre os pontos de entrada mais comuns para ataques de ransomware.

Além disso, as organizações devem implementar uma abordagem de segurança em várias camadas que inclua:

  • Backups regulares : garanta que os dados sejam copiados regularmente e armazenados em locais isolados da rede principal. Isso permitirá que as empresas recuperem seus dados sem pagar o resgate.
  • Segmentação de rede : ao segmentar suas redes, as organizações podem limitar a disseminação de ransomware caso ele consiga se infiltrar no sistema.
  • Treinamento de funcionários : erro humano, como clicar em um link malicioso ou baixar um anexo suspeito, continua sendo uma das principais causas de infecções por ransomware. Treinamento regular e simulações de phishing podem reduzir esse risco.
  • Endpoint Detection and Response (EDR) : Soluções de segurança avançadas podem detectar e mitigar ransomware antes que ele se espalhe por uma rede. Alguns ransomwares, incluindo o Cicada 3301, tentam ignorar ferramentas de EDR, então é crucial usar soluções robustas e atualizadas.

A inquietante conexão com o quebra-cabeça da cigarra 3301

O Cicada 3301 Ransomware compartilha seu nome com um movimento online enigmático conhecido por criar quebra-cabeças criptográficos complexos. No entanto, o grupo original Cicada 3301 se distanciou publicamente dessa operação de ransomware, afirmando que não tem nenhuma afiliação com a atividade criminosa. Se isso é uma tentativa dos criadores do ransomware de tomar emprestado da mística do grupo original ou uma mera coincidência, ainda não está claro.

Independentemente disso, a chegada do ransomware Cicada 3301 marca um novo capítulo na batalha em andamento entre criminosos cibernéticos e profissionais de segurança cibernética. Ao entender como esse ransomware opera e tomar medidas proativas para se defender contra ele, as empresas podem minimizar o risco de se tornarem a próxima vítima.

Por Willa
September 5, 2024
Ransomware
Portuguese
September 5, 2024
Ransomware

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.