Cicada3301
Cicada3301 è un'operazione di tipo "ransomware-as-a-service" (RaaS), emersa nel 2024 e basata sul ransomware ALPHV/BlackCat.
L'origine di Cicada3301
L'operazione ransomware Cicada3301 prende il nome e il logo dal famigerato rompicapo online del 2012-2014 noto come Cicada 3301, che prevedeva complesse sfide crittografiche. Tuttavia, l'attuale operazione ransomware-as-a-service (RaaS) non ha alcun legame con il rompicapo originale. L'organizzazione legittima Cicada 3301 ha denunciato pubblicamente l'operazione criminale.
La campagna di ransomware ha iniziato a reclutare attivamente affiliati il 29 giugno 2024 tramite il forum dedicato alla criminalità informatica RAMP. Presenta notevoli somiglianze con il ransomware ALPHV/BlackCat, il che fa supporre che si tratti di un possibile rebranding o di un gruppo scissionista che utilizza lo stesso codice di base.
Paesi presi di mira da Cicada3301
Cicada prende di mira principalmente aziende del Nord America e del Regno Unito, ma alcune delle vittime più recenti si trovano in Svizzera e in Norvegia.
Settori di riferimento di Cicada3301
Cicada3301 prende di mira le piccole e medie imprese (PMI), concentrandosi in particolare su quelle che dispongono di ambienti aziendali basati su VMware ESXi. È stato progettato strategicamente per massimizzare i danni interrompendo il funzionamento delle macchine virtuali e impedendo il ripristino dei sistemi. Le vittime provengono da diversi settori, tra cui quello manifatturiero, sanitario, della vendita al dettaglio e dell'ospitalità.
Le vittime di Cicada3301
Ad oggi, sul sito di estorsione di Cicada3301 sono state rese pubbliche le generalità di 26 vittime. Il ransomware prende di mira le aziende che dispongono di risorse di alto valore e infrastrutture critiche, esercitando così la massima pressione sulle vittime affinché paghino il riscatto.
Fonte: ransomware.live
Il metodo di attacco di Cicada3301
Cicada3301 ottiene l'accesso tramite credenziali rubate o ottenute con attacchi di forza bruta, ricorrendo potenzialmente alla botnet Brutus per sferrare attacchi di forza bruta alle VPN su dispositivi Cisco, Fortinet, Palo Alto e SonicWall.
Il ransomware utilizza credenziali valide per elevare i propri privilegi, aggirando spesso i sistemi di sicurezza tramite strumenti da riga di comando come PSEXEC.
Utilizza una funzione di sospensione per ritardare l'esecuzione, manomettere le soluzioni EDR ed eliminare le copie shadow per impedire il ripristino.
Per infiltrarsi ulteriormente nella rete vengono utilizzate tecniche integrate di furto delle credenziali, sfruttando password ottenute tramite attacchi di forza bruta o rubate.
Esegue una scansione della rete alla ricerca di tipi di file e macchine virtuali, arrestando o eliminando le istantanee per garantire un'efficacia ottimale della crittografia.
Sfrutta credenziali compromesse e strumenti come PSEXEC per diffondersi nella rete.
Raccoglie documenti e file multimediali in base a specifiche estensioni prima di avviare la crittografia.
Crittografa i file utilizzando l'algoritmo ChaCha20, applicando una crittografia a intervalli per i file più grandi e aggiungendo un'estensione di sette caratteri.
Al momento non vi sono elementi che indichino che l'esfiltrazione dei dati sia una priorità, ma non si possono escludere sviluppi futuri.
Ottimizza la distruzione dei dati critici crittografando i file, spegnendo le macchine virtuali ed eliminando le istantanee di ripristino.
Cicada3301 ottiene l'accesso tramite credenziali rubate o ottenute con attacchi di forza bruta, ricorrendo potenzialmente alla botnet Brutus per sferrare attacchi di forza bruta alle VPN su dispositivi Cisco, Fortinet, Palo Alto e SonicWall.
Il ransomware utilizza credenziali valide per elevare i propri privilegi, aggirando spesso i sistemi di sicurezza tramite strumenti da riga di comando come PSEXEC.
Utilizza una funzione di sospensione per ritardare l'esecuzione, manomettere le soluzioni EDR ed eliminare le copie shadow per impedire il ripristino.
Per infiltrarsi ulteriormente nella rete vengono utilizzate tecniche integrate di furto delle credenziali, sfruttando password ottenute tramite attacchi di forza bruta o rubate.
Esegue una scansione della rete alla ricerca di tipi di file e macchine virtuali, arrestando o eliminando le istantanee per garantire un'efficacia ottimale della crittografia.
Sfrutta credenziali compromesse e strumenti come PSEXEC per diffondersi nella rete.
Raccoglie documenti e file multimediali in base a specifiche estensioni prima di avviare la crittografia.
Crittografa i file utilizzando l'algoritmo ChaCha20, applicando una crittografia a intervalli per i file più grandi e aggiungendo un'estensione di sette caratteri.
Al momento non vi sono elementi che indichino che l'esfiltrazione dei dati sia una priorità, ma non si possono escludere sviluppi futuri.
Ottimizza la distruzione dei dati critici crittografando i file, spegnendo le macchine virtuali ed eliminando le istantanee di ripristino.
TTP utilizzati da Cicada3301
Come rilevare Cicada3301 con Vectra AI
Domande frequenti
Cos'è il ransomware Cicada3301?
Cicada3301 è una variante di ransomware basata su Rust che prende di mira le piccole e medie imprese (PMI), crittografando i dati e compromettendo le attività aziendali rendendo i sistemi inutilizzabili.
In che modo Cicada3301 ottiene l'accesso iniziale?
Il ransomware sfrutta solitamente le vulnerabilità presenti nelle reti e utilizza credenziali compromesse per ottenere un primo punto d'appoggio, spesso attraverso attacchi opportunistici.
Quale metodo di crittografia utilizza?
Cicada3301 utilizza la crittografia RSA con riempimento OAEP, garantendo che i file crittografati siano altamente sicuri e difficili da decrittografare senza la chiave corretta.
In che modo Cicada3301 riesce a sfuggire all'individuazione?
Cicada3301 utilizza tecniche avanzate per eludere il rilevamento, tra cui l'impiego di strumenti come EDRSandBlast per disabilitare i sistemi Endpoint e risposta Endpoint (EDR) e la cancellazione delle copie shadow per impedire il ripristino.
Quali sono i settori più colpiti da Cicada3301?
Sebbene Cicada3301 miri principalmente alle PMI, le aziende di vari settori sono vulnerabili, in particolare quelle con un livello di sicurezza informatica carente.
Quali tecniche utilizza Cicada3301 per impedire il recupero dei dati?
Cicada3301 disabilita le opzioni di ripristino del sistema eliminando le copie shadow tramite i comandi "vssadmin" e manomettendo le impostazioni di ripristino tramite l'utilità "bcdedit".
Cicada3301 sottrae dati?
Sebbene l'obiettivo principale del ransomware sia la crittografia, l'infrastruttura che utilizza fa supporre che possa avere la capacità di sottrarre dati in future campagne.
Come si può individuare il ransomware Cicada3301?
Strumenti avanzati di rilevamento e risposta alle minacce di rete, come quelli offerti da Vectra AI, sono in grado di individuare comportamenti anomali in rete, credenziali compromesse e movimenti laterali, consentendo di identificare tempestivamente minacce come Cicada3301 prima che possano causare danni.
Cosa devo fare se rilevo la presenza di Cicada3301 nel mio ambiente?
Le misure immediate dovrebbero comprendere l'isolamento dei sistemi colpiti e la collaborazione con esperti di sicurezza informatica. Soluzioni come la Vectra AI offrono rilevamento in tempo reale, risposte automatizzate e analisi forense post-incidente per mitigare rapidamente le minacce ransomware.
Come posso proteggermi dal ransomware Cicada3301?
Le strategie di difesa proattive, come la Vectra AI , garantiscono un monitoraggio continuo della rete, il rilevamento delle minacce basato sull'intelligenza artificiale e l'identificazione tempestiva delle attività di ransomware. Ciò comprende il rilevamento dell'escalation dei privilegi, dei movimenti laterali e dei tentativi di disattivare le difese, assicurando che il ransomware venga bloccato prima che possa causare danni significativi.