Cicada3301
Cicada3301 è un'operazione ransomware-as-a-service (RaaS), emersa nel 2024 e basata sul ransomware ALPHV/BlackCat.
L'origine di Cicada3301
L'operazione ransomware Cicada3301 prende il nome e il logo dal famigerato puzzle Internet del 2012-2014 noto come Cicada 3301, che prevedeva complesse sfide crittografiche. Tuttavia, l'attuale operazione ransomware-as-a-service (RaaS) non ha alcun collegamento con il puzzle originale. L'organizzazione legittima Cicada 3301 ha pubblicamente denunciato l'operazione criminale.
La campagna ransomware ha iniziato a reclutare attivamente affiliati il 29 giugno 2024 attraverso il forum dedicato alla criminalità informatica RAMP. Presenta notevoli somiglianze con il ransomware ALPHV/BlackCat, il che suggerisce un potenziale rebranding o la presenza di un gruppo scissionista che utilizza lo stesso codice base.
Paesi presi di mira da Cicada3301
Cicada prende di mira prevalentemente aziende con sede in Nord America e nel Regno Unito, ma alcune delle vittime più recenti si trovano in Svizzera e Norvegia.
Settori presi di mira da Cicada3301
Cicada3301 prende di mira le piccole e medie imprese, concentrandosi in particolare su quelle che utilizzano VMware ESXi. È strategicamente progettato per massimizzare i danni interrompendo il funzionamento delle macchine virtuali e rimuovendo le opzioni di ripristino. Le vittime provengono da vari settori, tra cui quello manifatturiero, sanitario, della vendita al dettaglio e dell'ospitalità.
Le vittime di Cicada3301
Ad oggi, sul sito di estorsione Cicada3301 sono state rese pubbliche le identità di 26 vittime. Il ransomware prende di mira aziende con risorse di alto valore e infrastrutture critiche, esercitando la massima pressione sulle vittime affinché paghino il riscatto.
Fonte: ransomware.live
Il metodo di attacco di Cicada3301
Cicada3301 ottiene l'accesso tramite credenziali rubate o violate con forza bruta, potenzialmente utilizzando la botnet Brutus per violare con forza bruta le VPN su dispositivi Cisco, Fortinet, Palo Alto e SonicWall.
Il ransomware utilizza credenziali valide per aumentare i privilegi, spesso aggirando i sistemi di sicurezza tramite strumenti a riga di comando come PSEXEC.
Utilizza una funzione di sospensione per ritardare l'esecuzione, manomette le soluzioni EDR ed elimina le copie shadow per impedire il ripristino.
Le tecniche integrate di furto delle credenziali vengono utilizzate per infiltrarsi ulteriormente nella rete, sfruttando password violate con attacchi di forza bruta o rubate.
Esegue la scansione della rete alla ricerca di tipi di file e macchine virtuali, arrestando o eliminando le istantanee per ottenere un impatto ottimale della crittografia.
Utilizza credenziali compromesse e strumenti come PSEXEC per diffondersi nella rete.
Raccoglie documenti e file multimediali in base a estensioni specifiche prima di avviare la crittografia.
Crittografa i file utilizzando l'algoritmo ChaCha20, applicando una crittografia intermittente per i file più grandi e aggiungendo un'estensione di sette caratteri.
Nessuna prova attuale suggerisce che l'esfiltrazione dei dati sia una priorità, ma non si possono escludere capacità future.
Massimizza l'interruzione del servizio crittografando i file critici, arrestando le macchine virtuali ed eliminando gli snapshot di ripristino.
Cicada3301 ottiene l'accesso tramite credenziali rubate o violate con forza bruta, potenzialmente utilizzando la botnet Brutus per violare con forza bruta le VPN su dispositivi Cisco, Fortinet, Palo Alto e SonicWall.
Il ransomware utilizza credenziali valide per aumentare i privilegi, spesso aggirando i sistemi di sicurezza tramite strumenti a riga di comando come PSEXEC.
Utilizza una funzione di sospensione per ritardare l'esecuzione, manomette le soluzioni EDR ed elimina le copie shadow per impedire il ripristino.
Le tecniche integrate di furto delle credenziali vengono utilizzate per infiltrarsi ulteriormente nella rete, sfruttando password violate con attacchi di forza bruta o rubate.
Esegue la scansione della rete alla ricerca di tipi di file e macchine virtuali, arrestando o eliminando le istantanee per ottenere un impatto ottimale della crittografia.
Utilizza credenziali compromesse e strumenti come PSEXEC per diffondersi nella rete.
Raccoglie documenti e file multimediali in base a estensioni specifiche prima di avviare la crittografia.
Crittografa i file utilizzando l'algoritmo ChaCha20, applicando una crittografia intermittente per i file più grandi e aggiungendo un'estensione di sette caratteri.
Nessuna prova attuale suggerisce che l'esfiltrazione dei dati sia una priorità, ma non si possono escludere capacità future.
Massimizza l'interruzione del servizio crittografando i file critici, arrestando le macchine virtuali ed eliminando gli snapshot di ripristino.
TTP utilizzati da Cicada3301
Come rilevare Cicada3301 con Vectra AI
Domande frequenti
Che cos'è il ransomware Cicada3301?
Cicada3301 è un ransomware basato su Rust che prende di mira le piccole e medie imprese (PMI), crittografando i dati e interrompendo le operazioni aziendali rendendo i sistemi inutilizzabili.
Come ottiene Cicada3301 l'accesso iniziale?
Il ransomware sfrutta tipicamente le vulnerabilità all'interno delle reti e utilizza credenziali compromesse per stabilire un primo punto d'appoggio, spesso attraverso attacchi opportunistici.
Quale metodo di crittografia utilizza?
Cicada3301 utilizza la crittografia RSA con padding OAEP, garantendo che i file crittografati siano altamente sicuri e difficili da decrittografare senza la chiave appropriata.
In che modo Cicada3301 elude il rilevamento?
Cicada3301 utilizza tecniche avanzate per eludere il rilevamento, tra cui l'uso di strumenti come EDRSandBlast per disabilitare i sistemi Endpoint e risposta Endpoint (EDR) e la cancellazione delle copie shadow per impedire il ripristino.
Quali sono i settori più colpiti da Cicada3301?
Sebbene Cicada3301 prenda di mira principalmente le PMI, le aziende di vari settori sono vulnerabili, in particolare quelle con una scarsa sicurezza informatica.
Quali tecniche utilizza Cicada3301 per impedire il recupero?
Cicada3301 disabilita le opzioni di ripristino del sistema eliminando le copie shadow tramite i comandi "vssadmin" e manomettendo le impostazioni di ripristino tramite l'utilità "bcdedit".
Cicada3301 sottrae dati?
Sebbene l'obiettivo principale del ransomware sia la crittografia, l'infrastruttura che utilizza suggerisce che potrebbe avere il potenziale per sottrarre dati in campagne future.
Come è possibile rilevare il ransomware Cicada3301?
Strumenti avanzati di rilevamento e risposta di rete, come quelli forniti da Vectra AI, sono in grado di rilevare comportamenti anomali della rete, credenziali compromesse e movimenti laterali, consentendo l'identificazione tempestiva di minacce come Cicada3301 prima che causino danni.
Cosa devo fare se rilevo Cicada3301 nel mio ambiente?
Le misure immediate dovrebbero includere l'isolamento dei sistemi colpiti e la collaborazione con esperti di sicurezza informatica. Soluzioni come la Vectra AI offrono rilevamento in tempo reale, risposte automatizzate e analisi forense post-incidente per mitigare rapidamente le minacce ransomware.
Come posso proteggermi dal ransomware Cicada3301?
Le strategie di difesa proattive, come la Vectra AI , forniscono un monitoraggio continuo della rete, il rilevamento delle minacce basato sull'intelligenza artificiale e l'identificazione precoce delle attività ransomware. Ciò include il rilevamento dell'escalation dei privilegi, dei movimenti laterali e dei tentativi di disabilitare le difese, garantendo che il ransomware venga bloccato prima che possa causare danni significativi.