Cicada 3301 Ransomware attackerar flera operativsystem

ransomware

Nya ransomware-hot dyker upp regelbundet. En av de mest potentiellt farliga varianterna är Cicada 3301, en ransomware-operation som har fått uppmärksamhet för sina sofistikerade tekniker och kusliga koppling till en kryptisk onlinerörelse. Först upptäcktes i juni 2024, Cicada 3301 Ransomware verkar vara en formidabel efterföljare till tidigare ransomware-grupper som BlackCat (även känd som ALPHV), som ärver och förbättrar deras metoder.

Vad är Cicada 3301 Ransomware?

Cicada 3301 Ransomware är en ny skadlig kod som riktar sig till små till medelstora företag (SMB) genom att utnyttja systemsårbarheter. Denna ransomware är skriven på programmeringsspråket Rust och är mycket anpassningsbar och kan attackera Windows och Linux-baserade system. Det dök först upp på underjordiska forum och bjöd in affiliates att gå med i dess ransomware-as-a-service (RaaS)-plattform. I den här modellen kan cyberbrottslingar hyra ut sina ransomware till andra angripare för en del av vinsten.

En utmärkande egenskap hos Cicada 3301 Ransomware är dess förmåga att bädda in autentiseringsuppgifterna för komprometterade användare i sin körbara fil. Den här funktionen är avgörande för att sprida ransomware inom ett nätverk, eftersom den utnyttjar legitima verktyg som PsExec, som möjliggör fjärrexekvering av program på Windows-system. Genom att göra det kan angriparna röra sig i sidled över ett offers nätverk utan att väcka misstankar.

Hur fungerar Ransomware?

Ransomware, inklusive Cicada 3301, är utformad för att låsa upp ett offers filer genom att kryptera dem och sedan kräva betalning, vanligtvis i kryptovaluta, för att återställa åtkomsten. Krypteringsprocessen säkerställer att filer är oanvändbara tills offret betalar lösen eller återställer filerna genom säkerhetskopior – om sådana säkerhetskopior finns och förblir kompromisslösa. I många fall inaktiverar ransomware också systemåterställningsverktyg och tar bort säkerhetskopior för att förhindra att offret enkelt återställer sina data.

Cicada 3301 Ransomware använder avancerade krypteringsmetoder, särskilt ChaCha20-krypteringsalgoritmen, som är mycket effektiv och svår att bryta. Denna ransomware riktar sig också mot specifika filtillägg som SQL, DOC, XLS, JPEG och många andra, och låser upp viktiga affärsdokument, databaser och till och med personliga mediefiler.

Här är också lösensumman som denna infektion sjunker:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

Vad vill Cicada 3301?

Som de flesta ransomware-program är Cicada 3301:s primära mål ekonomisk vinst. Genom att kryptera ett företags värdefulla data och stoppa dess verksamhet kan angripare kräva rejäla lösensummor för att återställa åtkomsten. Små till medelstora företag är särskilt sårbara eftersom de ofta saknar det robusta cybersäkerhetsförsvaret från större företag och kan vara mer benägna att betala lösensumman för att undvika långvariga driftstopp.

En aspekt som gör Cicada 3301 särskilt farlig är dess potentiella samarbete med andra cyberbrottsgrupper. Forskare har avslöjat bevis som tyder på att operatörerna bakom Cicada 3301 kan arbeta med Brutus botnet-gruppen för att få första åtkomst till företagsnätverk. Detta tyder på att ransomware-operationen kan vara en del av en större, samordnad attackstrategi, vilket ökar dess räckvidd och effektivitet.

Avancerade tekniker som används av Cicada 3301

Cicada 3301 ransomware delar många likheter med sin föregångare, BlackCat, men med några viktiga uppgraderingar. Den använder en mängd olika taktiker för att maximera skadan och undvika upptäckt. Till exempel stoppar den virtuella maskiner (VM) som körs på målets system för att säkerställa att kritisk data, även de som finns i virtuella miljöer, krypteras. Denna teknik har också observerats i andra högprofilerade ransomware-grupper, som Megazord och Yanluowang.

Dessutom vidtar Cicada 3301 åtgärder för att inaktivera systemåterställning och säkerhetskopiering, vilket gör det svårare för offer att återställa sina data utan att betala lösensumman. Den använder verktyg som bcdedit för att manipulera systemåterställningsinställningar och wevtutil för att rensa alla händelseloggar, vilket effektivt raderar dess spår. Denna nivå av sofistikering gör det utmanande för säkerhetsteam att upptäcka och svara på attacken i realtid.

Ett ransomware byggt för hastighet och undvikande

En av Cicada 3301:s mer innovativa funktioner är intermittent kryptering. Denna metod innebär att selektivt kryptera delar av större filer, vilket minskar tiden det tar att låsa upp enorma mängder data. Genom att endast kryptera filer som är större än 100 MB kan Cicada 3301 snabbt göra stora databaser och andra kritiska filer ur funktion, vilket gör att företag inte kan fungera.

En annan unik funktion är möjligheten att fortsätta kryptera filer även när virtuella maskiner körs, med hjälp av en parameter som heter "no_vm_ss." Detta tillvägagångssätt gör att ransomwaren kan kryptera data utan att behöva stänga av de virtuella maskinerna, vilket minimerar avbrott i verksamheten och hjälper ransomware att förbli obemärkt under längre perioder.

Hur du skyddar dig från Cicada 3301

Framväxten av Cicada 3301 Ransomware förstärker behovet för företag att upprätthålla starka cybersäkerhetsförsvar. Det första steget i att försvara sig mot ransomware är att se till att all programvara, särskilt operativsystem och säkerhetsverktyg, är uppdaterade. Sårbarheter i föråldrad programvara är bland de vanligaste inkörsporterna för ransomware-attacker.

Dessutom bör organisationer implementera en säkerhetsstrategi i flera lager som inkluderar:

  • Regelbundna säkerhetskopieringar : Se till att data säkerhetskopieras regelbundet och lagras på platser som är isolerade från huvudnätverket. Detta kommer att göra det möjligt för företag att återställa sina data utan att betala lösen.
  • Nätverkssegmentering : Genom att segmentera sina nätverk kan organisationer begränsa spridningen av ransomware om det skulle lyckas infiltrera systemet.
  • Personalutbildning : Mänskliga fel, som att klicka på en skadlig länk eller ladda ner en misstänkt bilaga, är fortfarande en ledande orsak till infektioner med ransomware. Regelbunden träning och nätfiske-simuleringar kan minska denna risk.
  • Endpoint Detection and Response (EDR) : Avancerade säkerhetslösningar kan upptäcka och mildra ransomware innan den sprids över ett nätverk. Vissa ransomware, inklusive Cicada 3301, försöker kringgå EDR-verktyg, så det är avgörande att använda robusta, uppdaterade lösningar.

Den oroande kopplingen till Cicada 3301-pusslet

Cicada 3301 Ransomware delar sitt namn med en gåtfull onlinerörelse känd för att skapa komplexa kryptografiska pussel. Den ursprungliga Cicada 3301-gruppen har dock offentligt tagit avstånd från denna ransomware-operation och förklarat att den inte har någon anknytning till den kriminella verksamheten. Om detta är ett försök från ransomware-skaparna att låna från den ursprungliga gruppens mystik eller en ren slump är fortfarande oklart.

Oavsett vilket markerar ankomsten av Cicada 3301 ransomware ett nytt kapitel i den pågående kampen mellan cyberbrottslingar och cybersäkerhetsproffs. Genom att förstå hur denna ransomware fungerar och vidta proaktiva åtgärder för att försvara sig mot det, kan företag minimera risken att bli nästa offer.

År Willa
September 5, 2024
Ransomware
Svenska
September 5, 2024
Ransomware

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.