Zikade3301
Cicada3301 ist ein ransomware-as-a-service (RaaS) Betrieb, der im Jahr 2024 entsteht und auf ALPHV/BlackCat ransomware basiert.
Der Ursprung von Cicada3301
Der Betrieb Cicada3301 ransomware hat seinen Namen und sein Logo von dem berüchtigten Internet-Rätsel Cicada 3301 (2012-2014), das komplexe kryptografische Herausforderungen beinhaltete. Die aktuelle ransomware-as-a-service (RaaS) Operation hat jedoch keine Verbindung zu dem ursprünglichen Rätsel. Die rechtmäßige Cicada 3301-Organisation hat die kriminelle Operation öffentlich angeprangert.
Die Kampagne ransomware begann am 29. Juni 2024 mit der aktiven Rekrutierung von Mitgliedern über das RAMP-Cybercrime-Forum. Sie weist erhebliche Ähnlichkeiten mit der ALPHV/BlackCat ransomware auf, was darauf hindeutet, dass es sich möglicherweise um eine neue Marke oder eine Splittergruppe handelt, die dieselbe Codebasis verwendet.
Ziele
Cicada3301's Ziele
Von Cicada3301 anvisierte Länder
Cicada zielt vor allem auf Unternehmen in Nordamerika und dem Vereinigten Königreich ab, aber einige der jüngsten Opfer befinden sich in der Schweiz und in Norwegen.
Zielbranchen von Cicada3301
Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.
Zielbranchen von Cicada3301
Cicada3301 zielt auf kleine und mittelständische Unternehmen ab und konzentriert sich auf KMUs, insbesondere auf solche mit Unternehmensumgebungen, die VMware ESXi verwenden. Er ist strategisch so konzipiert, dass er den Schaden maximiert, indem er den Betrieb virtueller Maschinen unterbricht und Wiederherstellungsoptionen ausschaltet.Die Opfer kommen aus verschiedenen Branchen, darunter Fertigung, Gesundheitswesen, Einzelhandel und Gastgewerbe.
Cicada3301's Opfer
Bislang wurden 26 Opfer auf der Erpresser-Website Cicada3301 öffentlich aufgelistet. Die Website ransomware zielt auf Unternehmen mit hochwertigen Vermögenswerten und kritischer Infrastruktur ab, um den Druck auf die Opfer zur Zahlung des Lösegelds zu erhöhen.
Quelle: ransomware.live
Angriffsmethode
Cicada3301's Angriffsmethode
Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.
Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.
Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.
Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.
Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.
Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.
Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.
Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.
Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.
Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.
Erster Zugang
Cicada3301 verschafft sich Zugang über gestohlene oder erzwungene Anmeldeinformationen und nutzt möglicherweise das Brutus-Botnet für die Erzwingung von VPNs über Cisco-, Fortinet-, Palo Alto- und SonicWall-Geräte.
Rechte-Eskalation
Die Website ransomware verwendet gültige Anmeldeinformationen, um die Rechte zu erweitern, und umgeht Sicherheitssysteme häufig mit Hilfe von Befehlszeilen-Tools wie PSEXEC.
Verteidigung Umgehung
Verwendet eine Schlaffunktion, um die Ausführung zu verzögern, EDR-Lösungen zu manipulieren und Schattenkopien zu löschen, um eine Wiederherstellung zu verhindern.
Zugang zu Anmeldeinformationen
Integrierte Techniken zum Diebstahl von Anmeldeinformationen werden für die weitere Infiltration des Netzwerks verwendet, wobei erzwungene oder gestohlene Passwörter genutzt werden.
Entdeckung
Durchsucht das Netzwerk nach Dateitypen und virtuellen Maschinen und schließt oder löscht Snapshots, um eine optimale Verschlüsselung zu gewährleisten.
Seitliche Bewegung
Verwendet kompromittierte Anmeldeinformationen und Tools wie PSEXEC zur Verbreitung im Netzwerk.
Sammlung
Sammelt Dokumente und Mediendateien anhand bestimmter Erweiterungen, bevor die Verschlüsselung eingeleitet wird.
Ausführung
Verschlüsselt Dateien mit dem ChaCha20-Algorithmus, wobei größere Dateien mit Unterbrechungen verschlüsselt werden und eine siebenstellige Erweiterung angehängt wird.
Exfiltration
Derzeit gibt es keine Anhaltspunkte dafür, dass die Datenexfiltration eine Priorität darstellt, aber zukünftige Möglichkeiten sind nicht auszuschließen.
Auswirkungen
Maximiert die Unterbrechung durch Verschlüsselung kritischer Dateien, Herunterfahren von VMs und Löschen von Wiederherstellungs-Snapshots.
MITRE ATT&CK Kartierung
Von Cicada3301 verwendete TTPs
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Plattform-Detektionen
Wie man Cicada3301 erkennt mit Vectra AI
Häufig gestellte Fragen
Was ist Cicada3301 ransomware?
Cicada3301 ist ein auf Rust basierender ransomware Stamm, der kleine und mittlere Unternehmen (KMU) angreift, Daten verschlüsselt und den Geschäftsbetrieb stört, indem er Systeme unbrauchbar macht.
Wie verschafft sich Cicada3301 den ersten Zugang?
Die Website ransomware nutzt in der Regel Schwachstellen in Netzwerken aus und verwendet kompromittierte Anmeldeinformationen, um sich einen ersten Zugang zu verschaffen, häufig durch opportunistische Angriffe.
Welche Verschlüsselungsmethode wird verwendet?
Cicada3301 verwendet RSA-Verschlüsselung mit OAEP-Padding, um sicherzustellen, dass verschlüsselte Dateien hochsicher und ohne den richtigen Schlüssel schwer zu entschlüsseln sind.
Wie entgeht Cicada3301 der Entdeckung?
Cicada3301 verwendet fortschrittliche Techniken, um die Erkennung zu umgehen, einschließlich der Verwendung von Tools wie EDRSundBlast zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen und der Löschung von Schattenkopien, um eine Wiederherstellung zu verhindern.
Welche Branchen sind am stärksten von Cicada3301 betroffen?
Cicada3301 zielt zwar in erster Linie auf kleine und mittlere Unternehmen ab, doch sind auch Unternehmen in anderen Branchen gefährdet, insbesondere solche mit schwachen Sicherheitsvorkehrungen.
Welche Techniken verwendet Cicada3301, um die Wiederherstellung zu deaktivieren?
Cicada3301 deaktiviert die Systemwiederherstellungsoptionen, indem er Schattenkopien mit "vssadmin"-Befehlen löscht und die Wiederherstellungseinstellungen mit dem Dienstprogramm "bcdedit" manipuliert.
Exfiltriert Cicada3301 Daten?
Das Hauptziel von ransomwareist zwar die Verschlüsselung, aber die verwendete Infrastruktur deutet darauf hin, dass es in zukünftigen Kampagnen auch Daten exfiltrieren könnte.
Wie kann Cicada3301 ransomware entdeckt werden?
Fortschrittliche Netzwerkerkennungs- und Reaktionstools, wie die von Vectra AI, können ungewöhnliches Netzwerkverhalten, kompromittierte Anmeldeinformationen und seitliche Bewegungen erkennen und ermöglichen so eine frühzeitige Identifizierung von Bedrohungen wie Cicada3301, bevor sie Schaden anrichten.
Was sollte ich tun, wenn ich Cicada3301 in meiner Umgebung entdecke?
Zu den sofortigen Schritten sollten die Isolierung der betroffenen Systeme und die Zusammenarbeit mit Cybersicherheitsexperten gehören. Lösungen wie die Vectra AI Plattform bieten Echtzeit-Erkennung, automatische Reaktionen und forensische Analysen nach einem Vorfall, um Bedrohungen schnell zu entschärfen ransomware .
Wie kann ich mich vor Cicada3301 ransomware schützen?
Proaktive Verteidigungsstrategien, wie die Vectra AI Plattform, bieten kontinuierliche Netzwerküberwachung, KI-gesteuerte Bedrohungserkennung und frühzeitige Identifizierung von ransomware Aktivitäten. Dies umfasst die Erkennung von Privilegienerweiterungen, seitlichen Bewegungen und Versuchen, Abwehrmaßnahmen zu deaktivieren, um sicherzustellen, dass ransomware gestoppt wird, bevor ein erheblicher Schaden entstehen kann.