Cicada 3301 ランサムウェア

サイバーセキュリティの専門家は、現在では廃止されたBlackCat (ALPHV としても知られる) 攻撃と特徴を共有する Cicada 3301 という新しいランサムウェアの亜種を分析しました。Cicada 3301 は主に中小企業 (SMB) をターゲットにしており、機会を捉えた攻撃を通じて脆弱性を最初のアクセス ポイントとして利用します。

Rust で開発されたこのランサムウェアは、Windows と Linux/ESXi の両方のシステムに感染するように設計されています。2024 年 6 月に初めて発見され、RAMP アンダーグラウンド フォーラムへの投稿を通じて、Ransomware-as-a-Service (RaaS) プラットフォームのアフィリエイトを募集し始めました。このランサムウェアの特徴の 1 つは、実行ファイル内に侵害されたユーザー認証情報を埋め込むことです。この認証情報は、後でリモート プログラム実行を可能にする正規のツールである PsExec を実行するために使用されます。

Cicada 3301 は、対称暗号化の一種である ChaCha20 暗号化アルゴリズムを使用してファイルをロックします。暗号化されたファイルの名前は、ランダムに生成された 7 文字の拡張子で変更されます。たとえば、元々「1.doc」という名前だったファイルは、「1.doc.f11a46a1」に変換されます。暗号化が完了すると、ランサムウェアは「RESTORE-[ファイル拡張子]-DATA.txt」というテキスト ファイルに身代金要求メモを残します。

Cicada 3301 ランサムウェアの背後にいる攻撃者の要求

Cicada 3301 が残した身代金要求メッセージから、このランサムウェアが企業をターゲットに設計されていることが分かります。このメッセージは、被害者のネットワークが侵害され、ファイルが暗号化され、バックアップが消去されたことを通知します。さらに、大量の機密データがネットワークから盗まれたことも警告します。

攻撃者は、復号ツールと盗み出したデータの削除に対する支払いを要求します。これらの要求が満たされない場合、攻撃者は盗んだ情報を漏洩し、規制当局、被害者の顧客、パートナー、競合他社に通知すると脅します。

ファイルの復元が可能であることを実証するため、ハッカーらは 1 つのファイルを無料で復号することを提案している。また、このメモでは、暗号化されたファイルを復号または変更しようとすると永久的なデータ損失につながる可能性があるため、そうしないよう警告している。

過去のランサムウェア脅威との類似点

Cicada3301 は、ChaCha20 暗号化の使用、シンボリック リンクを評価してリダイレクトされたファイルを暗号化する sutil コマンド、IIS サービスを停止して変更や削除がロックされる可能性のあるファイルを暗号化する IISReset.exe など、BlackCat といくつかの戦術を共有しています。

BlackCat とのその他の類似点としては、シャドウ コピーを削除するアクション、bcdedit ユーティリティを変更してシステム回復を無効にするアクション、より大きなトラフィック量 (SMB PsExec 要求など) を処理するために MaxMpxCt 値を増やすアクション、wevtutil ユーティリティを使用してすべてのイベント ログを消去するアクションなどがあります。

Cicada 3301 ランサムウェアは 35 種類のファイルタイプをターゲットに

Cicada3301 は、ローカルに展開された仮想マシン (VM) を停止する動作も確認しています。これは、Megazord ランサムウェアやYanluowang ランサムウェアが以前に採用した動作です。また、さまざまなバックアップおよびリカバリ サービスと、ハードコードされた数十のプロセスのリストを終了します。

暗号化プロセス中に除外されるファイルとディレクトリの組み込みリストを維持することに加えて、このランサムウェアは合計 35 個のファイル拡張子 (sql、doc、rtf、xls、jpg、jpeg、psd、docm、xlsm、ods、ppsx、png、raw、dotx、xltx、pptx、ppsm、gif、bmp、dotm、xltm、pptm、odp、webp、pdf、odt、xlsb、ptox、mdf、tiff、docx、xlsx、xlam、potm、txt) をターゲットにします。

研究者らは、脆弱な署名済みドライバーを武器にして EDR 検出を回避する EDRSandBlast などの追加ツールも発見しました。これは、過去に BlackByte ランサムウェア グループも採用した手法です。

Cicada 3301 ランサムウェアによって生成された身代金要求メッセージには次のように書かれています。

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'