Zikade3301
Cicada3301 ist ein ransomware-as-a-service (RaaS) Betrieb, der im Jahr 2024 entsteht und auf ALPHV/BlackCat ransomware basiert.
Der Ursprung von Cicada3301
Der Betrieb Cicada3301 ransomware hat seinen Namen und sein Logo von dem berüchtigten Internet-Rätsel Cicada 3301 (2012-2014), das komplexe kryptografische Herausforderungen beinhaltete. Die aktuelle ransomware-as-a-service (RaaS) Operation hat jedoch keine Verbindung zu dem ursprünglichen Rätsel. Die rechtmäßige Cicada 3301-Organisation hat die kriminelle Operation öffentlich angeprangert.
Die Kampagne ransomware begann am 29. Juni 2024 mit der aktiven Rekrutierung von Mitgliedern über das RAMP-Cybercrime-Forum. Sie weist erhebliche Ähnlichkeiten mit der ALPHV/BlackCat ransomware auf, was darauf hindeutet, dass es sich möglicherweise um eine neue Marke oder eine Splittergruppe handelt, die dieselbe Codebasis verwendet.
Von Cicada3301 anvisierte Länder
Cicada zielt vor allem auf Unternehmen in Nordamerika und dem Vereinigten Königreich ab, aber einige der jüngsten Opfer befinden sich in der Schweiz und in Norwegen.
Zielbranchen von Cicada3301
Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.
Cicada3301's Opfer
Bislang wurden 26 Opfer auf der Erpresser-Website Cicada3301 öffentlich aufgelistet. Die Website ransomware zielt auf Unternehmen mit hochwertigen Vermögenswerten und kritischer Infrastruktur ab, um den Druck auf die Opfer zur Zahlung des Lösegelds zu erhöhen.
Quelle: ransomware.live
Cicada3301's Angriffsmethode
Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.
Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.
Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.
Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.
Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.
Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.
Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.
Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.
Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.
Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.
Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.
Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.
Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.
Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.
Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.
Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.
Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.
Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.
Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.
Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.
Von Cicada3301 verwendete TTPs
Wie man Cicada3301 erkennt mit Vectra AI
Häufig gestellte Fragen
Was ist Cicada3301 ransomware?
Cicada3301 ist ein auf Rust basierender ransomware Stamm, der kleine und mittlere Unternehmen (KMU) angreift, Daten verschlüsselt und den Geschäftsbetrieb stört, indem er Systeme unbrauchbar macht.
Wie verschafft sich Cicada3301 den ersten Zugang?
Die Website ransomware nutzt in der Regel Schwachstellen in Netzwerken aus und verwendet kompromittierte Anmeldeinformationen, um sich einen ersten Zugang zu verschaffen, häufig durch opportunistische Angriffe.
Welche Verschlüsselungsmethode wird verwendet?
Cicada3301 verwendet RSA-Verschlüsselung mit OAEP-Padding, um sicherzustellen, dass verschlüsselte Dateien hochsicher und ohne den richtigen Schlüssel schwer zu entschlüsseln sind.
Wie entgeht Cicada3301 der Entdeckung?
Cicada3301 verwendet fortschrittliche Techniken, um die Erkennung zu umgehen, einschließlich der Verwendung von Tools wie EDRSundBlast zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen und der Löschung von Schattenkopien, um eine Wiederherstellung zu verhindern.
Welche Branchen sind am stärksten von Cicada3301 betroffen?
Cicada3301 zielt zwar in erster Linie auf kleine und mittlere Unternehmen ab, doch sind auch Unternehmen in anderen Branchen gefährdet, insbesondere solche mit schwachen Sicherheitsvorkehrungen.
Welche Techniken verwendet Cicada3301, um die Wiederherstellung zu deaktivieren?
Cicada3301 deaktiviert die Systemwiederherstellungsoptionen, indem er Schattenkopien mit "vssadmin"-Befehlen löscht und die Wiederherstellungseinstellungen mit dem Dienstprogramm "bcdedit" manipuliert.
Exfiltriert Cicada3301 Daten?
Das Hauptziel von ransomwareist zwar die Verschlüsselung, aber die verwendete Infrastruktur deutet darauf hin, dass es in zukünftigen Kampagnen auch Daten exfiltrieren könnte.
Wie kann Cicada3301 ransomware entdeckt werden?
Fortschrittliche Netzwerkerkennungs- und Reaktionstools, wie die von Vectra AI, können ungewöhnliches Netzwerkverhalten, kompromittierte Anmeldeinformationen und seitliche Bewegungen erkennen und ermöglichen so eine frühzeitige Identifizierung von Bedrohungen wie Cicada3301, bevor sie Schaden anrichten.
Was sollte ich tun, wenn ich Cicada3301 in meiner Umgebung entdecke?
Zu den sofortigen Schritten sollten die Isolierung der betroffenen Systeme und die Zusammenarbeit mit Cybersicherheitsexperten gehören. Lösungen wie die Vectra AI Plattform bieten Echtzeit-Erkennung, automatische Reaktionen und forensische Analysen nach einem Vorfall, um Bedrohungen schnell zu entschärfen ransomware .
Wie kann ich mich vor Cicada3301 ransomware schützen?
Proaktive Verteidigungsstrategien, wie die Vectra AI Plattform, bieten kontinuierliche Netzwerküberwachung, KI-gesteuerte Bedrohungserkennung und frühzeitige Identifizierung von ransomware Aktivitäten. Dies umfasst die Erkennung von Privilegienerweiterungen, seitlichen Bewegungen und Versuchen, Abwehrmaßnahmen zu deaktivieren, um sicherzustellen, dass ransomware gestoppt wird, bevor ein erheblicher Schaden entstehen kann.