Cicada 3301 勒索病毒攻击多种操作系统
新的勒索软件威胁不断涌现。最具潜在危险的变体之一是 Cicada 3301,这是一种勒索软件操作,因其复杂的技术和与神秘的在线运动的诡异联系而备受关注。Cicada 3301 勒索软件于 2024 年 6 月首次被发现,似乎是 BlackCat(也称为 ALPHV)等先前勒索软件组织的强大继承者,继承并改进了它们的方法。
Table of Contents
什么是 Cicada 3301 勒索软件?
Cicada 3301 勒索软件是一种新型恶意软件,它利用系统漏洞攻击中小型企业 (SMB)。该勒索软件使用 Rust 编程语言编写,适应性强,能够攻击基于 Windows 和 Linux 的系统。它最初出现在地下论坛上,邀请会员加入其勒索软件即服务 (RaaS) 平台。在这种模式下,网络犯罪分子可以将其勒索软件出租给其他攻击者,以分得一部分利润。
Cicada 3301 勒索软件的一个显著特点是它能够将被感染用户的凭据嵌入到可执行文件中。此功能对于在网络中传播勒索软件至关重要,因为它利用了 PsExec 等合法工具,允许在 Windows 系统上远程执行程序。通过这样做,攻击者可以在受害者的网络中横向移动而不会引起怀疑。
勒索软件如何运作?
勒索软件(包括 Cicada 3301)旨在通过加密锁定受害者的文件,然后要求受害者支付(通常以加密货币)以恢复访问权限。加密过程可确保文件无法使用,直到受害者支付赎金或通过备份恢复文件(前提是此类备份存在且未被泄露)。在许多情况下,勒索软件还会禁用系统恢复工具并删除备份,以防止受害者轻松恢复其数据。
Cicada 3301 勒索软件采用先进的加密方法,尤其是 ChaCha20 加密算法,该算法效率高且难以破解。该勒索软件还针对特定文件扩展名,如 SQL、DOC、XLS、JPEG 等,锁定关键业务文档、数据库甚至个人媒体文件。
此次感染还会留下以下勒索信息:
** Welcome to Cicada3301 **
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
- Provide you with proof that the data has been stolen;
- Delete all stolen data;
- Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/2) Open our website:
WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.
蝉3301想要干什么?
与大多数勒索软件程序一样,Cicada 3301 的主要目标是获取经济利益。通过加密企业的宝贵数据并停止其运营,攻击者可以索要巨额赎金以恢复访问权限。中小型企业尤其容易受到攻击,因为它们通常缺乏大型企业那样强大的网络安全防御,可能更倾向于支付赎金以避免长时间停机。
Cicada 3301 特别危险的一个方面是它与其他网络犯罪集团的潜在合作。研究人员发现的证据表明,Cicada 3301 背后的运营者可能与 Brutus 僵尸网络组织合作,以获得对企业网络的初步访问权。这表明勒索软件操作可能是更大规模、协调一致的攻击策略的一部分,从而增加了其范围和有效性。
Cicada 3301 使用的先进技术
Cicada 3301 勒索软件与其前身 BlackCat 有许多相似之处,但也有一些关键升级。它采用各种策略来最大限度地造成损害并逃避检测。例如,它会停止目标系统上运行的虚拟机 (VM),以确保关键数据(即使是托管在虚拟环境中的数据)得到加密。这种技术也出现在其他知名勒索软件组织中,例如 Megazord 和 Yanluowang。
此外,Cicada 3301 还采取措施禁用系统恢复和备份服务,使受害者更难在不支付赎金的情况下恢复数据。它使用bcdedit等工具来操纵系统恢复设置,使用wevtutil来清除所有事件日志,从而有效地消除其踪迹。这种复杂程度使得安全团队很难实时检测和应对攻击。
专为速度和逃避攻击而生的勒索软件
Cicada 3301 的创新功能之一是间歇性加密。这种方法选择性地加密较大文件的部分内容,从而缩短锁定大量数据所需的时间。通过仅加密大于 100 MB 的文件,Cicada 3301 可以迅速使大型数据库和其他关键文件瘫痪,使企业无法正常运作。
另一个独特的功能是,即使在虚拟机运行时,也可以使用名为“no_vm_ss”的参数继续加密文件。这种方法允许勒索软件加密数据而无需关闭虚拟机,最大限度地减少对操作的干扰,并帮助勒索软件在更长时间内不被察觉。
如何保护自己免受 Cicada 3301 的侵害
Cicada 3301 勒索软件的出现进一步强调了企业保持强大网络安全防御的必要性。防御勒索软件的第一步是确保所有软件(尤其是操作系统和安全工具)都是最新的。过时软件中的漏洞是勒索软件攻击最常见的切入点之一。
此外,组织应实施多层安全方法,包括:
- 定期备份:确保定期备份数据并将其存储在与主网络隔离的位置。这样企业无需支付赎金即可恢复数据。
- 网络分段:通过对网络进行分段,组织可以限制勒索软件的传播,以防其渗透到系统中。
- 员工培训:人为错误(例如点击恶意链接或下载可疑附件)仍然是勒索软件感染的主要原因。定期培训和网络钓鱼模拟可以降低这种风险。
- 端点检测和响应 (EDR) :高级安全解决方案可以在勒索软件传播到整个网络之前检测并缓解勒索软件。一些勒索软件(包括 Cicada 3301)会试图绕过 EDR 工具,因此使用强大、最新的解决方案至关重要。
蝉 3301 之谜的令人不安的联系
Cicada 3301 勒索软件与一个神秘的在线组织同名,该组织以创建复杂的加密谜题而闻名。然而,最初的 Cicada 3301 组织已公开与这一勒索软件行动划清界限,声称它与犯罪活动没有任何关联。这究竟是勒索软件创建者试图借用原始组织的神秘性,还是纯属巧合,目前尚不清楚。
无论如何,Cicada 3301 勒索软件的出现标志着网络犯罪分子和网络安全专家之间持续斗争的新篇章。通过了解这种勒索软件的运作方式并采取主动措施进行防御,企业可以最大限度地降低成为下一个受害者的风险。
