Cicada3301 ist ein ransomware-as-a-service (RaaS) Betrieb, der im Jahr 2024 entsteht und auf ALPHV/BlackCat ransomware basiert.
Der Betrieb Cicada3301 ransomware hat seinen Namen und sein Logo von dem berüchtigten Internet-Rätsel Cicada 3301 (2012-2014), das komplexe kryptografische Herausforderungen beinhaltete. Die aktuelle ransomware-as-a-service (RaaS) Operation hat jedoch keine Verbindung zu dem ursprünglichen Rätsel. Die rechtmäßige Cicada 3301-Organisation hat die kriminelle Operation öffentlich angeprangert.
Die Kampagne ransomware begann am 29. Juni 2024 mit der aktiven Rekrutierung von Mitgliedern über das RAMP-Cybercrime-Forum. Sie weist erhebliche Ähnlichkeiten mit der ALPHV/BlackCat ransomware auf, was darauf hindeutet, dass es sich möglicherweise um eine neue Marke oder eine Splittergruppe handelt, die dieselbe Codebasis verwendet.
Cicada zielt vor allem auf Unternehmen in Nordamerika und dem Vereinigten Königreich ab, aber einige der jüngsten Opfer befinden sich in der Schweiz und in Norwegen.
Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.
Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.
Bislang wurden 26 Opfer auf der Erpresser-Website Cicada3301 öffentlich aufgelistet. Die Website ransomware zielt auf Unternehmen mit hochwertigen Vermögenswerten und kritischer Infrastruktur ab, um den Druck auf die Opfer zur Zahlung des Lösegelds zu erhöhen.
Quelle: ransomware.live
Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.
Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.
Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.
Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.
Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.
Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.
Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.
Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.
Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.
Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.
Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.
Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.
Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.
Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.
Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.
Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.
Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.
Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.
Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.
Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.
Cicada3301 ist ein auf Rust basierender ransomware Stamm, der kleine und mittlere Unternehmen (KMU) angreift, Daten verschlüsselt und den Geschäftsbetrieb stört, indem er Systeme unbrauchbar macht.
Die Website ransomware nutzt in der Regel Schwachstellen in Netzwerken aus und verwendet kompromittierte Anmeldeinformationen, um sich einen ersten Zugang zu verschaffen, häufig durch opportunistische Angriffe.
Cicada3301 verwendet RSA-Verschlüsselung mit OAEP-Padding, um sicherzustellen, dass verschlüsselte Dateien hochsicher und ohne den richtigen Schlüssel schwer zu entschlüsseln sind.
Cicada3301 verwendet fortschrittliche Techniken, um die Erkennung zu umgehen, einschließlich der Verwendung von Tools wie EDRSundBlast zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen und der Löschung von Schattenkopien, um eine Wiederherstellung zu verhindern.
Cicada3301 zielt zwar in erster Linie auf kleine und mittlere Unternehmen ab, doch sind auch Unternehmen in anderen Branchen gefährdet, insbesondere solche mit schwachen Sicherheitsvorkehrungen.
Cicada3301 deaktiviert die Systemwiederherstellungsoptionen, indem er Schattenkopien mit "vssadmin"-Befehlen löscht und die Wiederherstellungseinstellungen mit dem Dienstprogramm "bcdedit" manipuliert.
Das Hauptziel von ransomwareist zwar die Verschlüsselung, aber die verwendete Infrastruktur deutet darauf hin, dass es in zukünftigen Kampagnen auch Daten exfiltrieren könnte.
Fortschrittliche Netzwerkerkennungs- und Reaktionstools, wie die von Vectra AI, können ungewöhnliches Netzwerkverhalten, kompromittierte Anmeldeinformationen und seitliche Bewegungen erkennen und ermöglichen so eine frühzeitige Identifizierung von Bedrohungen wie Cicada3301, bevor sie Schaden anrichten.
Zu den sofortigen Schritten sollten die Isolierung der betroffenen Systeme und die Zusammenarbeit mit Cybersicherheitsexperten gehören. Lösungen wie die Vectra AI Plattform bieten Echtzeit-Erkennung, automatische Reaktionen und forensische Analysen nach einem Vorfall, um Bedrohungen schnell zu entschärfen ransomware .
Proaktive Verteidigungsstrategien, wie die Vectra AI Plattform, bieten kontinuierliche Netzwerküberwachung, KI-gesteuerte Bedrohungserkennung und frühzeitige Identifizierung von ransomware Aktivitäten. Dies umfasst die Erkennung von Privilegienerweiterungen, seitlichen Bewegungen und Versuchen, Abwehrmaßnahmen zu deaktivieren, um sicherzustellen, dass ransomware gestoppt wird, bevor ein erheblicher Schaden entstehen kann.