Cicada3301
Cicada3301 est un ransomware-as-a-service (RaaS), apparu en 2024 et basé sur le ransomware ALPHV/BlackCat.
L'origine de la cigale3301
Le ransomware Cicada3301 tire son nom et son logo de l'énigme Internet tristement célèbre de 2012 à 2014, connue sous le nom de Cicada 3301, qui comportait des défis cryptographiques complexes. Cependant, l'opération actuelle de ransomware-as-a-service (RaaS) n'a aucun lien avec l'énigme originale. L'organisation légitime Cicada 3301 a publiquement dénoncé l'opération criminelle.
La campagne de ransomware a commencé à recruter activement des affiliés le 29 juin 2024, via le forum de cybercriminalité RAMP. Il présente d'importantes similitudes avec le ransomware ALPHV/BlackCat, ce qui laisse penser qu'il s'agit d'un changement de marque ou d'un groupe dissident utilisant la même base de code.
Cibles
Les cibles de Cicada3301
Pays ciblés par Cicada3301
Cicada cible principalement les entreprises d'Amérique du Nord et du Royaume-Uni, mais certaines victimes récentes se trouvent en Suisse et en Norvège.
Industries ciblées par Cicada3301
Cicada3301 cible les petites et moyennes entreprises, en particulier celles qui disposent d'environnements d'entreprise utilisant VMware ESXi. Il est stratégiquement conçu pour maximiser les dommages en perturbant les opérations des machines virtuelles et en supprimant les options de récupération. Les victimes proviennent de divers secteurs, notamment l'industrie, la santé, le commerce de détail et l'hôtellerie.
Industries ciblées par Cicada3301
Cicada3301 cible les petites et moyennes entreprises, en particulier celles qui disposent d'environnements d'entreprise utilisant VMware ESXi. Il est stratégiquement conçu pour maximiser les dommages en perturbant les opérations des machines virtuelles et en supprimant les options de récupération. Les victimes proviennent de divers secteurs, notamment l'industrie, la santé, le commerce de détail et l'hôtellerie.
Les victimes de Cicada3301
À ce jour, 26 victimes ont été répertoriées sur le site d'extorsion Cicada3301. Le ransomware cible les entreprises disposant d'actifs de grande valeur et d'infrastructures critiques, ce qui permet d'exercer une pression maximale sur les victimes pour qu'elles paient la rançon.
Source : ransomware.live
Méthode d'attaque
Méthode d'attaque de Cicada3301
Cicada3301 obtient l'accès par le biais d'informations d'identification volées ou forcées, en utilisant potentiellement le botnet Brutus pour le forçage brutal de VPN sur les dispositifs Cisco, Fortinet, Palo Alto et SonicWall.
Le ransomware utilise des informations d'identification valides pour élever les privilèges, en contournant souvent les systèmes de sécurité au moyen d'outils de ligne de commande tels que PSEXEC.
Utilisation d'une fonction de mise en veille pour retarder l'exécution, falsification des solutions EDR et suppression des copies d'ombre pour empêcher la récupération.
Des techniques intégrées de vol d'informations d'identification sont utilisées pour poursuivre l'infiltration du réseau, en s'appuyant sur des mots de passe forcés ou volés.
Analyse le réseau à la recherche de types de fichiers et de machines virtuelles, en arrêtant ou en supprimant les instantanés pour optimiser l'impact du chiffrement.
Utilise des informations d'identification compromises et des outils tels que PSEXEC pour se propager sur le réseau.
Collecte les documents et les fichiers multimédias sur la base d'extensions spécifiques avant de lancer le cryptage.
Chiffre les fichiers à l'aide de l'algorithme ChaCha20, en appliquant un chiffrement intermittent pour les fichiers plus volumineux et en ajoutant une extension de sept caractères.
Rien n'indique actuellement que l'exfiltration de données soit une priorité, mais on ne peut exclure la possibilité d'y recourir à l'avenir.
Maximise l'interruption en chiffrant les fichiers critiques, en arrêtant les machines virtuelles et en supprimant les instantanés de récupération.
Accès Initial
Cicada3301 obtient l'accès par le biais d'informations d'identification volées ou forcées, en utilisant potentiellement le botnet Brutus pour le forçage brutal de VPN sur les dispositifs Cisco, Fortinet, Palo Alto et SonicWall.
Élévation de privilèges
Le ransomware utilise des informations d'identification valides pour élever les privilèges, en contournant souvent les systèmes de sécurité au moyen d'outils de ligne de commande tels que PSEXEC.
Défense Evasion
Utilisation d'une fonction de mise en veille pour retarder l'exécution, falsification des solutions EDR et suppression des copies d'ombre pour empêcher la récupération.
Accès aux identifiants
Des techniques intégrées de vol d'informations d'identification sont utilisées pour poursuivre l'infiltration du réseau, en s'appuyant sur des mots de passe forcés ou volés.
Découverte
Analyse le réseau à la recherche de types de fichiers et de machines virtuelles, en arrêtant ou en supprimant les instantanés pour optimiser l'impact du chiffrement.
Mouvement latéral
Utilise des informations d'identification compromises et des outils tels que PSEXEC pour se propager sur le réseau.
Collection
Collecte les documents et les fichiers multimédias sur la base d'extensions spécifiques avant de lancer le cryptage.
Exécution
Chiffre les fichiers à l'aide de l'algorithme ChaCha20, en appliquant un chiffrement intermittent pour les fichiers plus volumineux et en ajoutant une extension de sept caractères.
Exfiltration
Rien n'indique actuellement que l'exfiltration de données soit une priorité, mais on ne peut exclure la possibilité d'y recourir à l'avenir.
Impact
Maximise l'interruption en chiffrant les fichiers critiques, en arrêtant les machines virtuelles et en supprimant les instantanés de récupération.
MITRE ATT&CK Mapping
TTPs utilisées par Cicada3301
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Détections de la plate-forme
Comment détecter Cicada3301 avec Vectra AI
Foire aux questions
Qu'est-ce que le ransomware Cicada3301 ?
Cicada3301 est une souche de ransomware basée sur Rust qui cible les petites et moyennes entreprises (PME), chiffrant les données et perturbant les opérations commerciales en rendant les systèmes inutilisables.
Comment Cicada3301 obtient-il un accès initial ?
Le ransomware exploite généralement les vulnérabilités des réseaux et utilise des informations d'identification compromises pour s'implanter, souvent par le biais d'attaques opportunistes.
Quelle méthode de cryptage utilise-t-il ?
Cicada3301 utilise le cryptage RSA avec remplissage OAEP, garantissant que les fichiers cryptés sont hautement sécurisés et difficiles à décrypter sans la clé appropriée.
Comment Cicada3301 échappe-t-il à la détection ?
Cicada3301 utilise des techniques avancées pour contourner la détection, y compris l'utilisation d'outils tels que EDRS etBlast pour désactiver les systèmes de détection et de réponse (EDR) de Endpoint et la suppression de la copie d'ombre pour empêcher la récupération.
Quelles sont les industries les plus touchées par Cicada3301 ?
Bien que Cicada3301 cible principalement les PME, les entreprises de divers secteurs sont vulnérables, en particulier celles dont les mesures de cybersécurité sont insuffisantes.
Quelles sont les techniques utilisées par Cicada3301 pour désactiver la récupération ?
Cicada3301 désactive les options de récupération du système en supprimant les copies d'ombre à l'aide des commandes "vssadmin" et en modifiant les paramètres de récupération à l'aide de l'utilitaire "bcdedit".
Cicada3301 exfiltre-t-il des données ?
Si l'objectif premier du ransomware est le chiffrement, l'infrastructure qu'il utilise laisse penser qu'il pourrait être en mesure d'exfiltrer des données lors de futures campagnes.
Comment le ransomware Cicada3301 peut-il être détecté ?
Les outils avancés détection et réponse aux incidents , tels que ceux fournis par Vectra AI, peuvent détecter des comportements inhabituels du réseau, des identifiants compromis et des mouvements latéraux, ce qui permet d'identifier rapidement des menaces telles que Cicada3301 avant qu'elles ne causent des dommages.
Que dois-je faire si je détecte Cicada3301 dans mon environnement ?
Les mesures immédiates doivent consister à isoler les systèmes affectés et à travailler avec des experts en cybersécurité. Des solutions telles que la plateforme Vectra AI offrent une détection en temps réel, des réponses automatisées et une analyse médico-légale post-incident afin d'atténuer rapidement les menaces de ransomware.
Comment puis-je me protéger contre le ransomware Cicada3301 ?
Les stratégies de défense proactives, telles que la plateforme Vectra AI , assurent une surveillance continue du réseau, une détection des menaces basée sur l'IA et une identification précoce des activités des ransomwares. Cela inclut la détection de l'escalade des privilèges, des mouvements latéraux et des tentatives de désactivation des défenses, ce qui permet d'arrêter les ransomwares avant qu'ils ne causent des dommages importants.