Вирус-вымогатель Cicada 3301 атакует несколько операционных систем
Регулярно появляются новые угрозы программ-вымогателей. Одним из наиболее потенциально опасных вариантов является Cicada 3301, операция по вымогательству, которая привлекла внимание своими сложными методами и жуткой связью с криптовым онлайн-движением. Впервые обнаруженная в июне 2024 года, Cicada 3301 Ransomware, по-видимому, является грозным преемником предыдущих групп программ-вымогателей, таких как BlackCat (также известная как ALPHV), унаследовав и улучшив их методы.
Table of Contents
Что такое вирус-вымогатель Cicada 3301?
Cicada 3301 Ransomware — это новый штамм вредоносного ПО, нацеленный на малый и средний бизнес (SMB), эксплуатирующий уязвимости системы. Написанный на языке программирования Rust, этот вымогатель легко адаптируется и способен атаковать системы на базе Windows и Linux. Впервые он появился на подпольных форумах, приглашая партнеров присоединиться к своей платформе ransomware-as-a-service (RaaS). В этой модели киберпреступники могут сдавать свои вымогательские программы в аренду другим злоумышленникам за долю прибыли.
Отличительной особенностью Cicada 3301 Ransomware является его способность встраивать учетные данные скомпрометированных пользователей в свой исполняемый файл. Эта функция имеет решающее значение для распространения вымогателя в сети, поскольку он использует легитимные инструменты, такие как PsExec, которые позволяют удаленно выполнять программы в системах Windows. Таким образом, злоумышленники могут перемещаться по сети жертвы, не вызывая подозрений.
Как работают программы-вымогатели?
Программы-вымогатели, включая Cicada 3301, предназначены для блокировки файлов жертвы путем их шифрования, а затем требуют оплату, как правило, в криптовалюте, для восстановления доступа. Процесс шифрования гарантирует, что файлы будут непригодны для использования, пока жертва не заплатит выкуп или не восстановит файлы из резервных копий, если такие резервные копии существуют и остаются нескомпрометированными. Во многих случаях программы-вымогатели также отключают инструменты восстановления системы и удаляют резервные копии, чтобы жертва не могла легко восстановить свои данные.
Cicada 3301 Ransomware использует передовые методы шифрования, в частности алгоритм шифрования ChaCha20, который является высокоэффективным и трудно поддающимся взлому. Этот вымогатель также нацелен на определенные расширения файлов, такие как SQL, DOC, XLS, JPEG и многие другие, блокируя критически важные деловые документы, базы данных и даже личные медиафайлы.
Вот также записка с требованием выкупа, которую оставляет эта инфекция:
** Welcome to Cicada3301 **
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
- Provide you with proof that the data has been stolen;
- Delete all stolen data;
- Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/2) Open our website:
WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.
Чего хочет Cicada 3301?
Как и большинство программ-вымогателей, основной целью Cicada 3301 является финансовая выгода. Шифруя ценные данные компании и останавливая ее работу, злоумышленники могут потребовать солидный выкуп за восстановление доступа. Малый и средний бизнес особенно уязвим, поскольку у них часто нет надежной защиты от киберугроз, как у крупных корпораций, и они могут быть более склонны платить выкуп, чтобы избежать длительного простоя.
Одним из аспектов, делающих Cicada 3301 особенно опасным, является его потенциальное сотрудничество с другими киберпреступными группами. Исследователи обнаружили доказательства, свидетельствующие о том, что операторы, стоящие за Cicada 3301, могут работать с группой ботнетов Brutus, чтобы получить первоначальный доступ к корпоративным сетям. Это говорит о том, что операция по вымогательству может быть частью более масштабной, скоординированной стратегии атаки, увеличивая ее охват и эффективность.
Продвинутые методы, используемые Cicada 3301
Программа-вымогатель Cicada 3301 имеет много общего со своим предшественником BlackCat, но с некоторыми ключевыми обновлениями. Она использует различные тактики для максимального ущерба и избегания обнаружения. Например, она останавливает виртуальные машины (ВМ), работающие в системах цели, чтобы гарантировать шифрование критически важных данных, даже размещенных в виртуальных средах. Эта техника также наблюдалась в других известных группах программ-вымогателей, таких как Megazord и Yanluowang.
Кроме того, Cicada 3301 предпринимает шаги для отключения системного восстановления и резервного копирования, что затрудняет жертвам восстановление данных без уплаты выкупа. Он использует такие инструменты, как bcdedit для управления настройками системного восстановления и wevtutil для очистки всех журналов событий, эффективно стирая свои следы. Такой уровень сложности затрудняет для служб безопасности обнаружение и реагирование на атаку в режиме реального времени.
Программа-вымогатель, созданная для скорости и уклонения от атак
Одной из наиболее инновационных функций Cicada 3301 является прерывистое шифрование. Этот метод включает выборочное шифрование частей больших файлов, что сокращает время, необходимое для блокировки больших объемов данных. Шифруя только файлы размером более 100 МБ, Cicada 3301 может быстро вывести из строя большие базы данных и другие критически важные файлы, лишая предприятия возможности функционировать.
Еще одной уникальной функцией является возможность продолжать шифрование файлов даже во время работы виртуальных машин с помощью параметра «no_vm_ss». Такой подход позволяет программе-вымогателю шифровать данные без необходимости отключения виртуальных машин, что сводит к минимуму перебои в работе и помогает программе-вымогателю оставаться незамеченной в течение более длительных периодов времени.
Как защитить себя от Цикады 3301
Появление Cicada 3301 Ransomware усиливает необходимость для компаний поддерживать надежную защиту кибербезопасности. Первым шагом в защите от программ-вымогателей является обеспечение актуальности всего программного обеспечения, особенно операционных систем и инструментов безопасности. Уязвимости в устаревшем программном обеспечении являются одними из наиболее распространенных точек входа для атак программ-вымогателей.
Кроме того, организациям следует внедрить многоуровневый подход к обеспечению безопасности, включающий:
- Регулярное резервное копирование : Обеспечьте регулярное резервное копирование данных и их хранение в местах, изолированных от основной сети. Это позволит компаниям восстановить свои данные без выплаты выкупа.
- Сегментация сети : сегментируя свои сети, организации могут ограничить распространение программ-вымогателей, если им удастся проникнуть в систему.
- Обучение сотрудников : Человеческая ошибка, например, нажатие на вредоносную ссылку или загрузка подозрительного вложения, остается основной причиной заражения программами-вымогателями. Регулярное обучение и имитация фишинга могут снизить этот риск.
- Endpoint Detection and Response (EDR) : расширенные решения безопасности могут обнаруживать и смягчать последствия программ-вымогателей до того, как они распространятся по сети. Некоторые программы-вымогатели, включая Cicada 3301, пытаются обойти инструменты EDR, поэтому крайне важно использовать надежные и современные решения.
Тревожная связь с головоломкой Cicada 3301
Cicada 3301 Ransomware разделяет свое название с загадочным онлайн-движением, известным созданием сложных криптографических головоломок. Однако первоначальная группа Cicada 3301 публично дистанцировалась от этой операции по вымогательству, заявив, что не имеет никакого отношения к преступной деятельности. Является ли это попыткой создателей вымогателя позаимствовать мистику оригинальной группы или простым совпадением, остается неясным.
Несмотря на это, появление вируса-вымогателя Cicada 3301 знаменует собой новую главу в продолжающейся битве между киберпреступниками и специалистами по кибербезопасности. Понимая, как работает этот вирус-вымогатель, и предпринимая упреждающие шаги для защиты от него, компании могут минимизировать риск стать следующей жертвой.
