Zikade3301

Cicada3301 ist ein ransomware-as-a-service (RaaS) Betrieb, der im Jahr 2024 entsteht und auf ALPHV/BlackCat ransomware basiert.

Ist Ihr Unternehmen vor Cicada3301-Angriffen sicher?

Der Ursprung von Cicada3301

Der Betrieb Cicada3301 ransomware hat seinen Namen und sein Logo von dem berüchtigten Internet-Rätsel Cicada 3301 (2012-2014), das komplexe kryptografische Herausforderungen beinhaltete. Die aktuelle ransomware-as-a-service (RaaS) Operation hat jedoch keine Verbindung zu dem ursprünglichen Rätsel. Die rechtmäßige Cicada 3301-Organisation hat die kriminelle Operation öffentlich angeprangert.

Die Kampagne ransomware begann am 29. Juni 2024 mit der aktiven Rekrutierung von Mitgliedern über das RAMP-Cybercrime-Forum. Sie weist erhebliche Ähnlichkeiten mit der ALPHV/BlackCat ransomware auf, was darauf hindeutet, dass es sich möglicherweise um eine neue Marke oder eine Splittergruppe handelt, die dieselbe Codebasis verwendet.

Ziele

Cicada3301's Ziele

Von Cicada3301 anvisierte Länder

Cicada zielt vor allem auf Unternehmen in Nordamerika und dem Vereinigten Königreich ab, aber einige der jüngsten Opfer befinden sich in der Schweiz und in Norwegen.

Zielbranchen von Cicada3301

Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.

Zielbranchen von Cicada3301

Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.

Cicada3301's Opfer

Bislang wurden 26 Opfer auf der Erpresser-Website Cicada3301 öffentlich aufgelistet. Die Website ransomware zielt auf Unternehmen mit hochwertigen Vermögenswerten und kritischer Infrastruktur ab, um den Druck auf die Opfer zur Zahlung des Lösegelds zu erhöhen.

Quelle: ransomware.live

Angriffsmethode

Cicada3301's Angriffsmethode

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.

MITRE ATT&CK Kartierung

Von Cicada3301 verwendete TTPs

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery

Häufig gestellte Fragen

Was ist Cicada3301 ransomware?

Cicada3301 ist ein auf Rust basierender ransomware Stamm, der kleine und mittlere Unternehmen (KMU) angreift, Daten verschlüsselt und den Geschäftsbetrieb stört, indem er Systeme unbrauchbar macht.

Wie verschafft sich Cicada3301 den ersten Zugang?

Die Website ransomware nutzt in der Regel Schwachstellen in Netzwerken aus und verwendet kompromittierte Anmeldeinformationen, um sich einen ersten Zugang zu verschaffen, häufig durch opportunistische Angriffe.

Welche Verschlüsselungsmethode wird verwendet?

Cicada3301 verwendet RSA-Verschlüsselung mit OAEP-Padding, um sicherzustellen, dass verschlüsselte Dateien hochsicher und ohne den richtigen Schlüssel schwer zu entschlüsseln sind.

Wie entgeht Cicada3301 der Entdeckung?

Cicada3301 verwendet fortschrittliche Techniken, um die Erkennung zu umgehen, einschließlich der Verwendung von Tools wie EDRSundBlast zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen und der Löschung von Schattenkopien, um eine Wiederherstellung zu verhindern.

Welche Branchen sind am stärksten von Cicada3301 betroffen?

Cicada3301 zielt zwar in erster Linie auf kleine und mittlere Unternehmen ab, doch sind auch Unternehmen in anderen Branchen gefährdet, insbesondere solche mit schwachen Sicherheitsvorkehrungen.

Welche Techniken verwendet Cicada3301, um die Wiederherstellung zu deaktivieren?

Cicada3301 deaktiviert die Systemwiederherstellungsoptionen, indem er Schattenkopien mit "vssadmin"-Befehlen löscht und die Wiederherstellungseinstellungen mit dem Dienstprogramm "bcdedit" manipuliert.

Exfiltriert Cicada3301 Daten?

Das Hauptziel von ransomwareist zwar die Verschlüsselung, aber die verwendete Infrastruktur deutet darauf hin, dass es in zukünftigen Kampagnen auch Daten exfiltrieren könnte.

Wie kann Cicada3301 ransomware entdeckt werden?

Fortschrittliche Netzwerkerkennungs- und Reaktionstools, wie die von Vectra AI, können ungewöhnliches Netzwerkverhalten, kompromittierte Anmeldeinformationen und seitliche Bewegungen erkennen und ermöglichen so eine frühzeitige Identifizierung von Bedrohungen wie Cicada3301, bevor sie Schaden anrichten.

Was sollte ich tun, wenn ich Cicada3301 in meiner Umgebung entdecke?

Zu den sofortigen Schritten sollten die Isolierung der betroffenen Systeme und die Zusammenarbeit mit Cybersicherheitsexperten gehören. Lösungen wie die Vectra AI Plattform bieten Echtzeit-Erkennung, automatische Reaktionen und forensische Analysen nach einem Vorfall, um Bedrohungen schnell zu entschärfen ransomware .

Wie kann ich mich vor Cicada3301 ransomware schützen?

Proaktive Verteidigungsstrategien, wie die Vectra AI Plattform, bieten kontinuierliche Netzwerküberwachung, KI-gesteuerte Bedrohungserkennung und frühzeitige Identifizierung von ransomware Aktivitäten. Dies umfasst die Erkennung von Privilegienerweiterungen, seitlichen Bewegungen und Versuchen, Abwehrmaßnahmen zu deaktivieren, um sicherzustellen, dass ransomware gestoppt wird, bevor ein erheblicher Schaden entstehen kann.