محققان از زمان کشف گروه باج افزار به عنوان یک سرویس Cicada3301 در ژوئن 2024، مشاهده کردهاند که این گروه طیف گستردهای از مشاغل مختلف را مورد هدف قرار میدهد. Cicada3301 اطلاعات ربوده شده از 30 شرکت را که اغلب آنها در ایالات متحده و بریتانیا واقع شدهاند بین ژوئن تا اکتبر 2024 در سایتهای اختصاصی خود منتشر کرده است.
جامعه امنیت سایبری شباهتهای زیادی را بین کد منبع این گروه با گروه باج افزار BlackCat کشف کرده است. Cicada3301 از تکنیکهای رمزگذاری پیچیده ChaCha20 و RSA با حالتهای قابل تنظیم استفاده میکند که قادر به رمزگذاری کامل و جزئی فایل به منظور بهینهسازی سرعت و تأثیر حملات است.
این باج افزار دارای یک پنل مبتنی بر وب است که توسط آن با کارشناسان تست نفوذ و کارگزاران دسترسی خود ارتباط برقرار میکند. Group-ib، پس از مشاهده یک تبلیغ از سوی Cicada3301 و درخواست شرکای جدید در دارک وب، با این گروه در انجمن جرایم سایبری RAMP از طریق سرویس پیامرسان Tox تماس برقرار کرد.
Group-IB توانست با موفقیت به این پنل دسترسی پیدا کند. داشبورد پنل گروه باج افزار Cicada3301 شامل بخشهایی مانند داشبورد، اخبار، شرکتها، چت، پشتیبانی چت، حساب، بخش پرسشهای متداول و خروج از سیستم است که در ادامه وظیفه هر بخش به طور مختصر شرح داده شده است:
- داشبورد (Dashboard): نمای کلی از لاگینهای موفق یا ناموفق توسط شرکتهای وابسته و تعداد شرکتهای قربانی (مورد حمله) را نشان میدهد.
- اخبار (News): این بخش اطلاعات به روزرسانی محصولات و اخبار برنامه باج افزار Cicada3301 را شامل میشود.
- شرکتها (Companies ): گزینههایی را برای اضافه کردن قربانیان (به عنوان مثال، نام شرکت، مبلغ باج درخواستی، تاریخ انقضای تخفیف و غیره) و گونههای جدید باج افزار Cicada3301 ارائه میدهد.
- چت با شرکتها (Chat Companies): رابطی را برای برقراری ارتباط و مذاکره با قربانیان ارائه میکند.
- پشتیبانی چت (Chat Support ): رابطی برای ارتباط با نمایندگان گروه باج افزار Cicada3301 به منظور حل مشکلات ایجاد کرده است.
- حساب (Account ): بخشی که به مدیریت حساب و بازنشانی رمز عبور شرکتهای وابسته اختصاص دارد.
- پرسشهای متداول (FAQ ): این بخش جزئیات قوانین و راهنمای ایجاد قربانیان، پیکربندی و مراحل اجرای باج افزار را در سیستمعاملهای مختلف ارائه میدهد.
گروه باج افزار Cicada3301 به دلیل عملیات پیچیده و ابزار پیشرفته به سرعت خود را به عنوان یک تهدید مهم در چشم انداز باج افزار معرفی کرده است. باج افزار این گروه که به زبان Rust نوشته شده است، از طیف گستردهای از پلتفرمها از جمله ویندوز، لینوکس، ESXi، NAS و حتی معماریهای غیر متداول مانند PowerPC پشتیبانی میکند.
Cicada3301 مانند دیگر گونههای باج افزار، دارای تاکتیکهای تهاجمی مانند خاموش کردن ماشینهای مجازی در ESXi و Hyper-V، خاتمه فرآیندها و سرویسها، حذف کپیهای shadow و رمزگذاری اشتراکهای شبکه برای به حداکثر رساندن اختلال و تأثیر حملات خود است.
Cicada3301 با استفاده از رمزگذاری ChaCha20 + RSA و ارائه یک پنل قابل تنظیم، به شرکتهای وابسته خود امکان میدهد تا حملات بسیار هدفمند را اجرا کنند. رویکرد آنها برای استخراج دادهها قبل از رمزگذاری، یک لایه فشار اضافی بر قربانیان ایجاد میکند.
عملیات گروه باج افزار Cicada3301 مجرمان سایبری ماهر را قادر میسازد حملات را سفارشی کرده و قربانیان را به طور مؤثر از طریق یک رابط وب غنی از ویژگیها مدیریت کنند.
ظهور Cicada3301 حاکی از تهدیدات در حال تکاملی است که سازمانها با آنها مواجه هستند. از این رو، سازمانها نیاز فوری به تقویت اقدامات امنیت سایبری خود، مشارکت در اطلاعات پیشگیرانه تهدید و اتخاذ یک استراتژی دفاعی چند لایه برای محافظت در برابر چنین حملاتی دارند.