Ransomware Cicada 3301
Des experts en cybersécurité ont analysé une nouvelle variante de ransomware appelée Cicada 3301, qui partage des caractéristiques avec l'opération BlackCat (également connue sous le nom d'ALPHV), aujourd'hui abandonnée. Cicada 3301 cible principalement les petites et moyennes entreprises (PME), exploitant les vulnérabilités comme point d'accès initial pour des attaques opportunistes.
Développé en Rust, ce ransomware est conçu pour infecter à la fois les systèmes Windows et Linux/ESXi. Il a été repéré pour la première fois en juin 2024, lorsqu'il a commencé à recruter des affiliés pour sa plateforme Ransomware-as-a-Service (RaaS) via un message sur le forum clandestin RAMP. L'une des caractéristiques distinctives du ransomware est l'intégration d'identifiants d'utilisateur compromis dans l'exécutable, qui sont ensuite utilisés pour exécuter PsExec, un outil légitime qui permet l'exécution de programmes à distance.
Le Cicada 3301 utilise l'algorithme cryptographique ChaCha20, une forme de chiffrement symétrique, pour verrouiller les fichiers. Les fichiers chiffrés ont leurs noms modifiés avec une extension de sept caractères générée aléatoirement. Par exemple, un fichier initialement nommé « 1.doc » est transformé en « 1.doc.f11a46a1 ». Une fois le chiffrement effectué, le ransomware laisse une note de rançon dans un fichier texte nommé « RESTORE-[extension_fichier]-DATA.txt ».
Table des matières
Les exigences des attaquants derrière le ransomware Cicada 3301
La demande de rançon laissée par le Cicada 3301 indique clairement que le ransomware est conçu pour cibler les entreprises. Elle informe la victime que son réseau a été compromis, que ses fichiers ont été chiffrés et que ses sauvegardes ont été effacées. En outre, elle l'avertit qu'une quantité importante de données sensibles a été volée sur le réseau.
Les attaquants exigent un paiement pour l'outil de décryptage et la suppression des données exfiltrées. Si ces exigences ne sont pas satisfaites, ils menacent de divulguer les informations volées et d'avertir les autorités de régulation, ainsi que les clients, partenaires et concurrents de la victime.
Pour démontrer qu'il est possible de récupérer des fichiers, les pirates proposent de décrypter un fichier gratuitement. La note met également en garde contre toute tentative de décryptage ou de modification des fichiers cryptés, car cela pourrait entraîner une perte permanente de données.
Similitudes avec les menaces de ransomware précédentes
Cicada3301 partage plusieurs tactiques avec BlackCat, notamment l'utilisation du cryptage ChaCha20, la commande sutil pour évaluer les liens symboliques et crypter les fichiers redirigés, et IISReset.exe pour arrêter les services IIS et crypter les fichiers qui pourraient autrement être verrouillés contre toute modification ou suppression.
Les similitudes supplémentaires avec BlackCat incluent des actions pour supprimer les copies fantômes, désactiver la récupération du système en modifiant l'utilitaire bcdedit, augmenter la valeur MaxMpxCt pour gérer des volumes de trafic plus importants (tels que les requêtes SMB PsExec) et effacer tous les journaux d'événements à l'aide de l'utilitaire wevtutil.
Le ransomware Cicada 3301 cible 35 types de fichiers différents
Cicada3301 a également observé l'arrêt des machines virtuelles (VM) déployées localement, un comportement précédemment adopté par Megazord Ransomware et Yanluowang Ransomware , et la fin de divers services de sauvegarde et de récupération et d'une liste codée en dur de dizaines de processus.
En plus de conserver une liste intégrée de fichiers et répertoires exclus pendant le processus de cryptage, le ransomware cible un total de 35 extensions de fichiers : sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm et txt.
Les chercheurs ont également découvert des outils supplémentaires comme EDRSandBlast qui utilisent un pilote signé vulnérable pour contourner les détections EDR, une pratique également adoptée par le groupe BlackByte Ransomware dans le passé.
La note de rançon générée par le ransomware Cicada 3301 indique :
'*** Welcome to Cicada3301 ***
** What Happened? **
Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.** Data Leak **
We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.We are ready to:
Provide you with proof that the data has been stolen;
Delete all stolen data;
Help you rebuild your infrastructure and prevent similar attacks in the future;
** What Guarantees? **
Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.** How to Contact us? **
Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'
