Cicada 3301 勒索軟體攻擊多個作業系統

新的勒索軟體威脅經常出現。最有潛在危險的變種之一是 Cicada 3301，這是一種勒索軟體操作，因其複雜的技術以及與神秘線上運動的怪異聯繫而引起人們的關注。 Cicada 3301 勒索軟體於 2024 年 6 月首次被發現，它似乎是 BlackCat（也稱為 ALPHV）等之前勒索軟體組織的強大繼承者，繼承並改進了他們的方法。

什麼是 Cicada 3301 勒索軟體？

Cicada 3301 勒索軟體是一種新的惡意軟體菌株，透過利用系統漏洞針對中小型企業 (SMB)。該勒索軟體採用 Rust 程式語言編寫，具有很強的適應性，能夠攻擊基於 Windows 和 Linux 的系統。它首先出現在地下論壇上，邀請附屬機構加入其勒索軟體即服務 (RaaS) 平台。在這個模型中，網路犯罪分子可以將勒索軟體出租給其他攻擊者以獲取利潤分成。

Cicada 3301 勒索軟體的一個顯著特徵是它能夠將受感染使用者的憑證嵌入到其可執行檔中。此功能對於在網路中傳播勒索軟體至關重要，因為它利用 PsExec 等合法工具，允許在 Windows 系統上遠端執行程式。透過這樣做，攻擊者可以在受害者的網路中橫向移動而不會引起懷疑。

勒索軟體如何運作？

勒索軟體（包括 Cicada 3301）旨在透過加密受害者的文件來鎖定它們，然後要求付款（通常以加密貨幣形式）以恢復存取權限。加密過程可確保檔案在受害者支付贖金或透過備份還原檔案之前無法使用（如果此類備份存在且不受影響）。在許多情況下，勒索軟體還會停用系統復原工具並刪除備份，以防止受害者輕鬆恢復資料。

Cicada 3301勒索軟體採用先進的加密方法，特別是ChaCha20加密演算法，效率高且難以破解。該勒索軟體也針對 SQL、DOC、XLS、JPEG 等特定檔案副檔名，鎖定關鍵業務文件、資料庫甚至個人媒體檔案。

這也是該感染所掉落的贖金字條：

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

• Provide you with proof that the data has been stolen;
• Delete all stolen data;
• Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

蟬3301想要什麼？

與大多數勒索軟體程式一樣，Cicada 3301 的主要目標是經濟利益。透過加密企業的寶貴資料並停止其運營，攻擊者可以要求高額贖金來恢復存取。中小型企業尤其容易受到攻擊，因為它們往往缺乏大公司強大的網路安全防禦能力，並且可能更傾向於支付贖金以避免長時間停機。

Cicada 3301 特別危險的一個面向是它與其他網路犯罪組織的潛在合作。研究人員發現的證據表明，Cicada 3301 背後的營運商可能正在與 Brutus 殭屍網路組織合作，以獲得對企業網路的初始存取權限。這表明勒索軟體操作可能是更大的、協調的攻擊策略的一部分，從而擴大了其影響範圍和有效性。

蟬3301所使用的先進技術

Cicada 3301 勒索軟體與其前身 BlackCat 有許多相似之處，但有一些關鍵升級。它採用多種策略來最大程度地造成損害並逃避檢測。例如，它會停止目標系統上執行的虛擬機器 (VM)，以確保關鍵資料（甚至託管在虛擬環境中的資料）已加密。這種技術也在其他備受矚目的勒索軟體組織中被發現，例如 Megazord 和 Yanluowang。

此外，Cicada 3301 也採取措施停用系統復原和備份服務，使受害者在不支付贖金的情況下更難恢復資料。它使用bcdedit等工具來作業系統恢復設置，並使用wevtutil來清除所有事件日誌，從而有效地擦除其痕跡。這種複雜程度使得安全團隊很難即時偵測和回應攻擊。

專為速度與逃避而設計的勒索軟體

Cicada 3301更具創新性的功能之一是間歇加密。此方法涉及選擇性地加密較大文件的部分內容，從而減少鎖定大量資料所需的時間。透過僅加密大於 100 MB 的文件，Cicada 3301 可以迅速使大型資料庫和其他關鍵文件失效，從而使企業無法正常運作。

另一個獨特的功能是即使在虛擬機器運行時也能夠使用名為“no_vm_ss”的參數繼續加密檔案。這種方法允許勒索軟體在無需關閉虛擬機器的情況下加密數據，從而最大限度地減少對操作的干擾，並幫助勒索軟體在更長的時間內不被發現。

如何保護自己免受蟬侵害 3301

Cicada 3301 勒索軟體的出現強化了企業維持強大網路安全防禦的必要性。防禦勒索軟體的第一步是確保所有軟體，特別是作業系統和安全工具都是最新的。過時軟體中的漏洞是勒索軟體攻擊最常見的入口點之一。

此外，組織應實施多層安全方法，包括：

• 定期備份：確保定期備份資料並將其儲存在與主網路隔離的位置。這將使企業無需支付贖金即可恢復資料。
• 網路分段：透過網路分段，組織可以限制勒索軟體在成功滲透系統時的傳播。
• 員工培訓：人為錯誤，例如點擊惡意連結或下載可疑附件，仍然是勒索軟體感染的主要原因。定期培訓和網路釣魚模擬可以降低這種風險。
• 端點偵測與回應 (EDR) ：進階安全解決方案可以在勒索軟體在整個網路中傳播之前進行偵測和緩解。包括 Cicada 3301 在內的一些勒索軟體試圖繞過 EDR 工具，因此使用強大的最新解決方案至關重要。

與 Cicada 3301 謎題的令人不安的聯繫

Cicada 3301 勒索軟體與一個神秘的線上運動同名，該運動以創造複雜的密碼謎題而聞名。然而，最初的 Cicada 3301 組織已公開與該勒索軟體操作保持距離，並表示與犯罪活動沒有任何關係。目前還不清楚這究竟是勒索軟體創作者試圖借用原始組織的神秘色彩，還是只是巧合。

無論如何，Cicada 3301 勒索軟體的到來標誌著網路犯罪分子和網路安全專業人士之間持續鬥爭的新篇章。透過了解這種勒索軟體的運作方式並採取主動措施進行防禦，企業可以最大限度地降低成為下一個受害者的風險。