Cicada3301 Ransomware
Cicada3301 Extortion Group
(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English
Этот крипто-вымогатель, используемый группой хакеров-вымогателей, шифрует данные бизнес-пользователей Windows, Linux, NAS, VMware ESXi с помощью комбинации алгоритмов ChaCha20+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cicada3301. На файле написано: нет данных. Написан на языке программирования Rust.
---
Обнаружения:
DrWeb -> Trojan.Dridex.864, Trojan.Dridex.863, Trojan.Encoder.41002
BitDefender -> ***
ESET-NOD32 -> A Variant Of Win32/Filecoder.ORN
Kaspersky -> Trojan-Ransom.Win32.Agent.bbut
Malwarebytes -> Trojan.FileCryptor
Microsoft -> Trojan:Win32/Malgent!MSR, Ransom:Win32/Cicada.DA!MTB
QuickHeal > Ransom.Cicada.S34143970
Rising -> Trojan.Malgent!8.10C33 (CLOUD), Ransom.Agent!8.6B7
Tencent -> Malware.Win32.Gencirc.10c044db, Malware.Win32.Gencirc.10c04256, Malware.Win32.Gencirc.10c043e9
TrendMicro -> Ransom.Win32.CICADA.YXEID
---
© Генеалогия: ✂ ALPHV/BlackCat >> Cicada3301
Сайт "ID Ransomware" идентифицирует это как Cicada3301 с 7 августа 2024.
Rising -> Trojan.Malgent!8.10C33 (CLOUD), Ransom.Agent!8.6B7
Tencent -> Malware.Win32.Gencirc.10c044db, Malware.Win32.Gencirc.10c04256, Malware.Win32.Gencirc.10c043e9
TrendMicro -> Ransom.Win32.CICADA.YXEID
---
© Генеалогия: ✂ ALPHV/BlackCat >> Cicada3301
Информация для идентификации
Активность этой группы вымогателей началась в начале-середине июня 2024 г., с момента публикации сообщения о первой жертве. Далее они стали себя продвигать на форуме RAMP в Даркнете. Ориентирован на англоязычных пользователей, средний и крупный бизнес. Может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: .<random>
Записка с требованием выкупа называется: RECOVER-<extension>-DATA.txt
Записка с требованием выкупа называется: RECOVER-<extension>-DATA.txt
Пострадавшие компании с 15 июня по 12 августа 2024.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Впервые представители Cicada3301 стали рекламировать свое детище как RaaS и набирать аффилянтов 24 июня 2024 года, опубликовав сообщение на русском языке на форуме Даркнета, известном как RAMP. Аффилянтам запрещено атаковать объекты в станах СНГ.
Вымогатели могут установить параметр сна, чтобы отложить выполнение шифрования и избежать немедленного обнаружения.
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ На атакованных компьютерах и виртуальных машинах перед шифрованием данных удаляются теневые копии файлов и моментальные снимки, чтобы свести к минимуму возможности восстановления данных без уплаты выкупа.
Список типов файлов, подвергающихся шифрованию:
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ На атакованных компьютерах и виртуальных машинах перед шифрованием данных удаляются теневые копии файлов и моментальные снимки, чтобы свести к минимуму возможности восстановления данных без уплаты выкупа.
Список типов файлов, подвергающихся шифрованию:
.bmp, .doc, .docm, .docx, .dotm, .dotx, .gif, .jpeg, .jpg, .mdf, .odp, .ods, .odt, .pdf, .png, .potm, .ppsm, .ppsx, .pptm, .pptx, .psd, .ptox, .raw, .rtf, .sql, .tiff, .txt, .webp, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx,
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов и пр.
Подробности о шифровании:
Подробности о шифровании:
Шифровальщик проверяет размер целевого файла. Если файл больше 0x6400000, то он будет шифровать файл по частям, а если меньше, то будет шифроваться весь файл. Файлы будут зашифрованы симметричным ключом, сгенерированным OsRng с использованием ChaCha20. После завершения шифрования программа-вымогатель шифрует ключ ChaCha20 с помощью предоставленного ключа RSA и записывает расширение в зашифрованный файл.
Файлы, связанные с этим Ransomware:
RECOVER-<extension>-DATA.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://cicadabv7vicyvgz5khl7v2x5yygcgow7ryy6yppwmxii4eoobdaztqd.onion/
Файлы, связанные с этим Ransomware:
RECOVER-<extension>-DATA.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
См. ниже результаты анализов.
Сетевые подключения и связи:
Tor-URL: hxxx://cicadabv7vicyvgz5khl7v2x5yygcgow7ryy6yppwmxii4eoobdaztqd.onion/
Email: -
BTC: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
---
---
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновлений не было или не добавлены.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support Added later: Write-up, Write-up
Thanks: TrueSec, JAMESWT Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.