Cicala3301
Cicada3301 è un'operazione di ransomware-as-a-service (RaaS), emersa nel 2024 e basata sul ransomware ALPHV/BlackCat.
L'origine di Cicada3301
L'operazione di ransomware Cicada3301 prende il nome e il logo dal famigerato rompicapo internet del 2012-2014 noto come Cicada 3301, che prevedeva complesse sfide crittografiche. Tuttavia, l'attuale operazione di ransomware-as-a-service (RaaS) non ha alcun legame con il rompicapo originale. L'organizzazione legittima Cicada 3301 ha denunciato pubblicamente l'operazione criminale.
La campagna ransomware ha iniziato a reclutare attivamente affiliati il 29 giugno 2024, attraverso il forum di criminalità informatica RAMP. Presenta significative somiglianze con il ransomware ALPHV/BlackCat, suggerendo un potenziale rebrand o un gruppo scissionista che utilizza la stessa base di codice.
Obiettivi
Obiettivi di Cicada3301
Paesi presi di mira da Cicada3301
Cicada prende di mira prevalentemente aziende del Nord America e del Regno Unito, ma alcune vittime recenti si trovano in Svizzera e Norvegia.
Industrie prese di mira da Cicada3301
Cicada3301 prende di mira le piccole e medie imprese, concentrandosi sulle PMI, in particolare quelle con ambienti aziendali che utilizzano VMware ESXi. È strategicamente progettato per massimizzare i danni, interrompendo le operazioni delle macchine virtuali e rimuovendo le opzioni di ripristino. Le vittime spaziano in vari settori, tra cui quello manifatturiero, sanitario, della vendita al dettaglio e dell'ospitalità.
Industrie prese di mira da Cicada3301
Cicada3301 prende di mira le piccole e medie imprese, concentrandosi sulle PMI, in particolare quelle con ambienti aziendali che utilizzano VMware ESXi. È strategicamente progettato per massimizzare i danni, interrompendo le operazioni delle macchine virtuali e rimuovendo le opzioni di ripristino. Le vittime spaziano in vari settori, tra cui quello manifatturiero, sanitario, della vendita al dettaglio e dell'ospitalità.
Vittime di Cicada3301
Al momento, 26 vittime sono state elencate pubblicamente sul sito di estorsione Cicada3301. Il ransomware prende di mira le imprese con beni di alto valore e infrastrutture critiche, garantendo la massima pressione sulle vittime affinché paghino il riscatto.
Fonte: ransomware.live
Metodo di attacco
Metodo di attacco di Cicada3301
Cicada3301 ottiene l'accesso tramite credenziali rubate o forzate, utilizzando potenzialmente la botnet Brutus per il brute-forcing di VPN su dispositivi Cisco, Fortinet, Palo Alto e SonicWall.
Il ransomware utilizza credenziali valide per aumentare i privilegi, spesso aggirando i sistemi di sicurezza attraverso strumenti a riga di comando come PSEXEC.
Utilizza una funzione di sospensione per ritardare l'esecuzione, la manomissione delle soluzioni EDR e l'eliminazione delle copie shadow per impedire il recupero.
Le tecniche integrate di furto di credenziali vengono utilizzate per ulteriori infiltrazioni nella rete, sfruttando password forzate o rubate.
Esegue una scansione della rete per individuare i tipi di file e le macchine virtuali, chiudendo o eliminando le istantanee per ottimizzare l'impatto della crittografia.
Utilizza credenziali compromesse e strumenti come PSEXEC per diffondersi nella rete.
Raccoglie documenti e file multimediali in base a estensioni specifiche prima di avviare la crittografia.
Crittografa i file utilizzando l'algoritmo ChaCha20, applicando una crittografia intermittente per i file più grandi e aggiungendo un'estensione di sette caratteri.
Nessuna prova attuale indica che l'esfiltrazione dei dati sia una priorità, ma non si possono escludere capacità future.
Massimizza l'interruzione crittografando i file critici, spegnendo le macchine virtuali ed eliminando le istantanee di ripristino.
Accesso iniziale
Cicada3301 ottiene l'accesso tramite credenziali rubate o forzate, utilizzando potenzialmente la botnet Brutus per il brute-forcing di VPN su dispositivi Cisco, Fortinet, Palo Alto e SonicWall.
Escalation dei privilegi
Il ransomware utilizza credenziali valide per aumentare i privilegi, spesso aggirando i sistemi di sicurezza attraverso strumenti a riga di comando come PSEXEC.
Difesa Evasione
Utilizza una funzione di sospensione per ritardare l'esecuzione, la manomissione delle soluzioni EDR e l'eliminazione delle copie shadow per impedire il recupero.
Accesso alle credenziali
Le tecniche integrate di furto di credenziali vengono utilizzate per ulteriori infiltrazioni nella rete, sfruttando password forzate o rubate.
Scoperta
Esegue una scansione della rete per individuare i tipi di file e le macchine virtuali, chiudendo o eliminando le istantanee per ottimizzare l'impatto della crittografia.
Movimento laterale
Utilizza credenziali compromesse e strumenti come PSEXEC per diffondersi nella rete.
Collezione
Raccoglie documenti e file multimediali in base a estensioni specifiche prima di avviare la crittografia.
Esecuzione
Crittografa i file utilizzando l'algoritmo ChaCha20, applicando una crittografia intermittente per i file più grandi e aggiungendo un'estensione di sette caratteri.
Esfiltrazione
Nessuna prova attuale indica che l'esfiltrazione dei dati sia una priorità, ma non si possono escludere capacità future.
Impatto
Massimizza l'interruzione crittografando i file critici, spegnendo le macchine virtuali ed eliminando le istantanee di ripristino.
MITRE ATT&CK Mappatura
TTP utilizzati da Cicada3301
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Rilevamenti della piattaforma
Come rilevare Cicada3301 con Vectra AI
DOMANDE FREQUENTI
Che cos'è il ransomware Cicada3301?
Cicada3301 è un ceppo di ransomware basato su Rust che prende di mira le piccole e medie imprese (PMI), crittografando i dati e interrompendo le operazioni aziendali rendendo inutilizzabili i sistemi.
Come fa Cicada3301 a ottenere l'accesso iniziale?
Il ransomware sfrutta tipicamente le vulnerabilità all'interno delle reti e utilizza credenziali compromesse per stabilire un punto d'appoggio iniziale, spesso attraverso attacchi opportunistici.
Quale metodo di crittografia utilizza?
Cicada3301 utilizza la crittografia RSA con padding OAEP, assicurando che i file crittografati siano altamente sicuri e difficili da decifrare senza la chiave appropriata.
Come fa Cicada3301 a eludere il rilevamento?
Cicada3301 utilizza tecniche avanzate per eludere il rilevamento, tra cui l'uso di strumenti come EDRSeBlast per disabilitare i sistemi EDR ( Endpoint Detection and Response) e l'eliminazione delle copie shadow per impedire il recupero.
Quali sono le industrie più colpite dalla Cicada3301?
Sebbene Cicada3301 si rivolga principalmente alle PMI, le aziende di vari settori sono vulnerabili, soprattutto quelle con una debole posizione di sicurezza informatica.
Quali tecniche utilizza Cicada3301 per disabilitare il recupero?
Cicada3301 disabilita le opzioni di ripristino del sistema eliminando le copie shadow tramite i comandi "vssadmin" e manomettendo le impostazioni di ripristino tramite l'utility "bcdedit".
Cicada3301 esfiltrerà i dati?
Sebbene l'obiettivo principale del ransomware sia la crittografia, l'infrastruttura che utilizza suggerisce che potrebbe avere il potenziale di esfiltrare i dati in campagne future.
Come può essere rilevato il ransomware Cicada3301?
Gli strumenti avanzati di rilevamento e risposta alla rete, come quelli forniti da Vectra AI, sono in grado di rilevare comportamenti di rete insoliti, credenziali compromesse e movimenti laterali, consentendo l'identificazione precoce di minacce come Cicada3301 prima che causino danni.
Cosa devo fare se rilevo la presenza di Cicada3301 nel mio ambiente?
Le misure immediate dovrebbero includere l'isolamento dei sistemi colpiti e la collaborazione con esperti di cybersecurity. Soluzioni come la piattaforma Vectra AI offrono rilevamento in tempo reale, risposte automatiche e analisi forense post incidente per mitigare rapidamente le minacce ransomware.
Come posso proteggermi dal ransomware Cicada3301?
Le strategie di difesa proattive, come la piattaforma Vectra AI , forniscono un monitoraggio continuo della rete, il rilevamento delle minacce basato sull'intelligenza artificiale e l'identificazione delle attività ransomware nelle prime fasi. Ciò include il rilevamento dell'escalation dei privilegi, del movimento laterale e dei tentativi di disabilitare le difese, assicurando che il ransomware venga fermato prima che possa causare danni significativi.