Cicada3301
Cicada3301, 2024 yılında ortaya çıkan ve ALPHV/BlackCat fidye yazılımını temel alan bir hizmet olarak fidye yazılımı (RaaS) operasyonudur.
Cicada'nın Kökeni3301
Cicada3301 fidye yazılımı operasyonu adını ve logosunu, karmaşık kriptografik zorluklar içeren ve Cicada 3301 olarak bilinen 2012-2014 yıllarındaki meşhur internet bulmacasından almaktadır. Bununla birlikte, mevcut hizmet olarak fidye yazılımı (RaaS) operasyonunun orijinal bulmaca ile hiçbir bağlantısı yoktur. Meşru Cicada 3301 organizasyonu, suç operasyonunu kamuoyu önünde kınadı.
Fidye yazılımı kampanyası 29 Haziran 2024 tarihinde RAMP siber suç forumu aracılığıyla aktif olarak üye toplamaya başlamıştır. ALPHV/BlackCat fidye yazılımı ile önemli benzerlikler taşıyor, bu da potansiyel bir yeniden markalaşmayı veya aynı kod tabanını kullanan bir ayrılıkçı grubu akla getiriyor.
Hedefler
Cicada3301'in Hedefleri
Cicada3301 tarafından hedeflenen ülkeler
Cicada ağırlıklı olarak Kuzey Amerika ve Birleşik Krallık'taki işletmeleri hedef almaktadır, ancak bazı yeni kurbanlar İsviçre ve Norveç'te bulunmaktadır.
Cicada3301 tarafından hedeflenen sektörler
Cicada3301, özellikle VMware ESXi kullanan kurumsal ortamlara sahip KOBİ'lere odaklanarak küçük ve orta ölçekli işletmeleri hedef alır. Sanal makine işlemlerini kesintiye uğratarak ve kurtarma seçeneklerini ortadan kaldırarak hasarı en üst düzeye çıkarmak için stratejik olarak tasarlanan Cicada3301'in kurbanları imalat, sağlık, perakende ve konaklama dahil olmak üzere çeşitli sektörleri kapsıyor.
Cicada3301 tarafından hedeflenen sektörler
Cicada3301, özellikle VMware ESXi kullanan kurumsal ortamlara sahip KOBİ'lere odaklanarak küçük ve orta ölçekli işletmeleri hedef alır. Sanal makine işlemlerini kesintiye uğratarak ve kurtarma seçeneklerini ortadan kaldırarak hasarı en üst düzeye çıkarmak için stratejik olarak tasarlanan Cicada3301'in kurbanları imalat, sağlık, perakende ve konaklama dahil olmak üzere çeşitli sektörleri kapsıyor.
Cicada3301'in Kurbanları
Şu an itibariyle, Cicada3301 gasp sitesinde 26 kurban kamuya açık olarak listelenmiştir. Fidye yazılımı, yüksek değerli varlıklara ve kritik altyapıya sahip işletmeleri hedef alarak kurbanlara fidye ödemeleri için maksimum baskı sağlıyor.
Kaynak: ransomware.live
Saldırı Yöntemi
Cicada3301'in Saldırı Yöntemi
Cicada3301, çalınan veya kaba kuvvetle elde edilen kimlik bilgileri aracılığıyla erişim elde eder ve potansiyel olarak Cisco, Fortinet, Palo Alto ve SonicWall cihazlarında VPN kaba kuvveti için Brutus botnetini kullanır.
Fidye yazılımı, ayrıcalıkları yükseltmek için geçerli kimlik bilgilerini kullanır ve genellikle PSEXEC gibi komut satırı araçları aracılığıyla güvenlik sistemlerini atlar.
Yürütmeyi geciktirmek, EDR çözümlerini kurcalamak ve kurtarmayı engellemek için gölge kopyaları silmek için bir uyku işlevi kullanır.
Entegre kimlik bilgisi hırsızlığı teknikleri, kaba kuvvetle zorlanan veya çalınan parolalardan yararlanarak daha fazla ağa sızmak için kullanılır.
Ağı dosya türleri ve sanal makineler için tarar, en iyi şifreleme etkisi için anlık görüntüleri kapatır veya siler.
Ağ genelinde yayılmak için güvenliği ihlal edilmiş kimlik bilgilerini ve PSEXEC gibi araçları kullanır.
Şifrelemeyi başlatmadan önce belgeleri ve medya dosyalarını belirli uzantılara göre toplar.
ChaCha20 algoritmasını kullanarak dosyaları şifreler, daha büyük dosyalar için aralıklı şifreleme uygular ve yedi karakterlik bir uzantı ekler.
Mevcut kanıtlar veri sızdırmanın öncelikli olduğunu göstermiyor, ancak gelecekteki yetenekler göz ardı edilemez.
Kritik dosyaları şifreleyerek, sanal makineleri kapatarak ve kurtarma anlık görüntülerini silerek kesintiyi en üst düzeye çıkarır.
İlk Erişim
Cicada3301, çalınan veya kaba kuvvetle elde edilen kimlik bilgileri aracılığıyla erişim elde eder ve potansiyel olarak Cisco, Fortinet, Palo Alto ve SonicWall cihazlarında VPN kaba kuvveti için Brutus botnetini kullanır.
Ayrıcalık Yükseltme
Fidye yazılımı, ayrıcalıkları yükseltmek için geçerli kimlik bilgilerini kullanır ve genellikle PSEXEC gibi komut satırı araçları aracılığıyla güvenlik sistemlerini atlar.
Savunma Kaçırma
Yürütmeyi geciktirmek, EDR çözümlerini kurcalamak ve kurtarmayı engellemek için gölge kopyaları silmek için bir uyku işlevi kullanır.
Kimlik Bilgileri Erişimi
Entegre kimlik bilgisi hırsızlığı teknikleri, kaba kuvvetle zorlanan veya çalınan parolalardan yararlanarak daha fazla ağa sızmak için kullanılır.
Keşif
Ağı dosya türleri ve sanal makineler için tarar, en iyi şifreleme etkisi için anlık görüntüleri kapatır veya siler.
Yanal Hareket
Ağ genelinde yayılmak için güvenliği ihlal edilmiş kimlik bilgilerini ve PSEXEC gibi araçları kullanır.
Koleksiyon
Şifrelemeyi başlatmadan önce belgeleri ve medya dosyalarını belirli uzantılara göre toplar.
Yürütme
ChaCha20 algoritmasını kullanarak dosyaları şifreler, daha büyük dosyalar için aralıklı şifreleme uygular ve yedi karakterlik bir uzantı ekler.
Sızma
Mevcut kanıtlar veri sızdırmanın öncelikli olduğunu göstermiyor, ancak gelecekteki yetenekler göz ardı edilemez.
Etki
Kritik dosyaları şifreleyerek, sanal makineleri kapatarak ve kurtarma anlık görüntülerini silerek kesintiyi en üst düzeye çıkarır.
MITRE ATT&CK Haritalama
Cicada3301 tarafından kullanılan TTP'ler
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Platform Tespitleri
Cicada3301 ile Nasıl Tespit Edilir Vectra AI
Sıkça Sorulan Sorular
Cicada3301 fidye yazılımı nedir?
Cicada3301, küçük ve orta ölçekli işletmeleri (KOBİ'ler) hedef alan, verileri şifreleyen ve sistemleri kullanılamaz hale getirerek iş operasyonlarını kesintiye uğratan Rust tabanlı bir fidye yazılımı türüdür.
Cicada3301 ilk erişimi nasıl elde ediyor?
Fidye yazılımı genellikle ağlardaki güvenlik açıklarından yararlanır ve genellikle fırsatçı saldırılar yoluyla ilk dayanak noktasını oluşturmak için tehlikeye atılmış kimlik bilgilerini kullanır.
Hangi şifreleme yöntemini kullanıyor?
Cicada3301, OAEP dolgusu ile RSA şifrelemesi kullanarak şifrelenmiş dosyaların son derece güvenli olmasını ve uygun anahtar olmadan şifresinin çözülmesinin zor olmasını sağlar.
Cicada3301 tespit edilmekten nasıl kaçıyor?
Cicada3301, uç nokta Algılama ve Yanıt (EDR) sistemlerini devre dışı bırakmak için EDRSandBlast gibi araçların kullanımı ve kurtarmayı önlemek için gölge kopya silme dahil olmak üzere algılamayı atlamak için gelişmiş teknikler kullanır.
Cicada3301 en çok hangi sektörleri etkiliyor?
Cicada3301 öncelikle KOBİ'leri hedef alsa da, çeşitli sektörlerdeki işletmeler, özellikle de siber güvenlik duruşları zayıf olanlar savunmasızdır.
Cicada3301 kurtarmayı devre dışı bırakmak için hangi teknikleri kullanıyor?
Cicada3301, "vssadmin" komutlarını kullanarak gölge kopyaları silerek ve "bcdedit" yardımcı programı aracılığıyla kurtarma ayarlarını kurcalayarak sistem kurtarma seçeneklerini devre dışı bırakır.
Cicada3301 veri sızdırıyor mu?
Fidye yazılımının birincil hedefi şifreleme olsa da, kullandığı altyapı, gelecekteki kampanyalarda veri sızdırma potansiyeline sahip olabileceğini gösteriyor.
Cicada3301 fidye yazılımı nasıl tespit edilebilir?
Vectra AI tarafından sağlananlar gibi gelişmiş ağ tespit ve müdahale araçları, olağandışı ağ davranışlarını, tehlikeye atılmış kimlik bilgilerini ve yanal hareketleri tespit ederek Cicada3301 gibi tehditlerin zarar vermeden önce erken tespit edilmesini sağlayabilir.
Çevremde Cicada3301 tespit edersem ne yapmalıyım?
Acil adımlar arasında etkilenen sistemlerin izole edilmesi ve siber güvenlik uzmanlarıyla birlikte çalışılması yer almalıdır. Vectra AI Platformu gibi çözümler, fidye yazılımı tehditlerini hızla azaltmak için gerçek zamanlı algılama, otomatik yanıtlar ve olay sonrası adli analiz sunar.
Cicada3301 fidye yazılımına karşı nasıl korunabilirim?
Vectra AI Platformu gibi proaktif savunma stratejileri, sürekli ağ izleme, yapay zeka odaklı tehdit algılama ve fidye yazılımı faaliyetlerinin erken aşamada tanımlanmasını sağlar. Bu, ayrıcalık yükseltme, yanal hareket ve savunmaları devre dışı bırakma girişimlerini tespit etmeyi içerir ve fidye yazılımının önemli hasara neden olmadan önce durdurulmasını sağlar.