Cicada Ransomware
Sigurnosni istraživači kompanije Morphisec Inc. su otkrili zlonamjerni softver Cicada, takođe poznat kao Cicada3301. Ovaj zlonamjerni softver je sofisticirani ransomware napisan u Rust programskom jeziku koji se pojavio u junu 2024. godine i navodno je uticao na preko 20 žrtava. Naziv “Cicada” usvojen je zbog povezanosti sa istoimenim zagonetkama objavljenim na internetu između 2012. i 2014. godine, za koje se vjerovalo da regrutuju visoko inteligentne pojedince. Međutim, ne postoji dokazana veza između ransomware zlonamjernog softvera i ovih zagonetki.
CICADA RANSOMWARE
Cicada, nedavno otkrivena vrsta ransomware zlonamjernog softvera koji se pojavio u junu 2024. godine, ostavio je zaintrigiranu sajber bezbjednosnu zajednicu zbog svojih sofisticiranih mogućnosti i neuhvatljivog porekla. Ovaj zlonamjerni softver prvenstveno cilja na mala i srednja preduzeća (eng. small and medium-sized business – SMB) na Windows i Linux operativnim sistemima putem oportunističkih napada koji iskorištavaju ranjivosti kao početni vektor pristupa.
Sofisticirana priroda Cicada ransomware zlonamjernog softvera može se pripisati njegovoj ekstenzivnoj upotrebi algoritama za šifrovanje, tehnikama izbjegavanja i postkompromisnim aktivnostima koje ga čine izazovnim za bezbjednosna rješenja za efikasno otkrivanje i ublažavanje.
Funkcionisanje
Šifrovanje podataka je sama suština rada Cicada ransomware zlonamjernog softvera, a ChaCha20 je izabrani algoritam za šifrovanje. Upotreba ChaCha20 algoritma izdvaja Cicada ransomware od mnogih drugih ransomware porodica zbog njegove brzine i bezbjednosnih karakteristika. Ova šifra simetričnog ključa nudi poboljšane performanse u odnosu na AES algoritam uz održavanje visokog nivoa bezbjednosti. Korištenje ovog modernog algoritma za šifrovanje od strane ransomware porodica naglašava potrebu da profesionalci u sajber bezbjednosti budu u toku sa novim trendovima u razvoju ransomware zlonamjernog softvera.
Pored ChaCha20 algoritma za šifrovanje, Cicada ransomware koristi različite tehnike kako bi izbjegao otkrivanje i obezbijedio uspješno šifrovanje datoteka na ciljanim mrežama. Jedna takva tehnika je upotreba fsutil, ugrađeni Windows uslužni program, za procjenu simboličkih veza i šifrovanje preusmjerenih datoteka. Ovaj metod omogućava ransomware zlonamjernom softveru da zaobiđe određene bezbjednosne mjere koje bi ga inače spriječile da pristupi kritičnim podacima.
Još jedna taktika koju koristi ransomware zlonamjernog softvera uključuje korišćenje IISReset.exe za zaustavljanje IIS usluga, omogućavajući šifrovanje datoteka koje bi inače bile zaključane za izmjene ili brisanja. Ova tehnika je posebno efikasna protiv organizacija koje koriste Internet Information Services – IIS, jer omogućava ransomware zlonamjernom softveru da šifruje širi spektar datoteka bez nailaska na uobičajene prepreke kao što su datoteke u upotrebi i problemi sa dozvolama.
Cicada ransomware takođe prati slične obrasce ponašanja kao BlackCat ransomware grupa u čišćenju svih evidencija događaja, brisanju kopija u sjenci (eng. shadowcopy-delete) preko uslužnog programa komandne linije i povećanje vrijednosti MaxMpxCt tako da može da podrži veće količine saobraćaja, kao što su SMB PsExec zahtjevi. Ove radnje su dizajnirane da učine otkrivanje izazovnijim za sigurnosne istraživače i spriječe organizacije da oporave svoje podatke koristeći tradicionalne metode rezervnih kopija.
Što se tiče početnog pristupa, primijećeno je da Cicada ransomware koristi alate kao što je EDRSandBlast koji iskorišćavaju ranjive potpisane upravljačke softvere (eng. drivers) da bi zaobišli softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR). Ova tehnika, koju je takođe ranije koristila BlackByte ransomware grupa, sugeriše moguću saradnju između ova dva entiteta u sticanju početnog pristupa mrežama organizacija.
Cicada ransomware je pokazao prilagodljivost u svom razvojnom procesu, o čemu svjedoči nedavni prelazak sa 64-bitne na 32-bitnu arhitekturu i uvođenje dodatnih mjera zamagljivanja. Ova evolucija ima za cilj da oteža otkrivanje kako sigurnosnim istraživačima tako i antivirusnom softveru. Povećanje veličine sa oko 7MB na 17MB, kako je primijećeno između 4. i 8. avgusta, dodatno komplikuje napore u otkrivanju zbog većeg otiska na inficiranim sistemima.
Analiza ESXi verzije Cicada ransomware zlonamjernog softvera otkrila je da ovaj ransomware može da koristi isprekidanu enkripciju za šifrovanje datoteka većih od 100 MB i da koristi parametar pod nazivom “no_vm_ss” za šifrovanje bez gašenja virtuelnih mašina koje rade na host mašini. Ova tehnika omogućava ransomware zlonamjernom softveru da cilja opsežnije skupove podataka dok smanjuje potencijalne poremećaje uzrokovane gašenjem aktivnih virtuelnih mašina.
Uticaj
Način funkcionisanja Cicada ransomware zlonamjernog softvera uključuje preuzimanje važnih podataka sa pogođenih organizacija i šifrovanje datoteka na njihovoj mreži. Nakon infiltracije, žrtve se dočekuju porukom u kojoj se zahteva plaćanje u kriptovaluti kako bi se spriječilo da se ukradeni podaci dalje objavljuju ili distribuiraju. Ako se otkupnina ne plati u predviđenom roku, zlonamjerni akteri prijete da će objaviti podatke na svom blogu i takođe ih poslati regulatornim organima, kupcima, partnerima i konkurentima – taktika osmišljena da nanese maksimalnu štetu.
Upotreba Rust programskog jezika izdvaja Cicada ransomware od mnogih drugih ransomware porodica. Ovaj izbor omogućava zlonamjernom softveru da bude otporniji na otkrivanje od strane antivirusnog softvera i otežava sigurnosnim istraživačima da analiziraju i suprotstave se njegovim efektima. Sofisticiranost ovog ransomware zlonamjernog softvera dodatno je naglašena činjenicom da je uspeo da izbjegne otkrivanje nekoliko mjeseci pre nego što je otkriven.
Cicada ransomware cilja širok spektar ekstenzija datoteka, sa 35 specifičnih tipova za sada identifikovanih. Ovo uključuje popularne formate kao što su .sql, .doc, .rtf, .xls, .jpg, .jpeg, .psd, .docm, .xlsm, .ods, .ppsx, .png, .raw, .dotx, .xltx, .pptx, .ppsm, .gif, .bmp, .dotm, .xltm, .pptm, .odp, .webp, .pdf, .odt, .xlsb, .ptox, .mdf, .tiff, .docx, .xlsx, .xlam, .potm i .txt. Širok opseg ciljanih ekstenzija datoteka sugeriše da ovaj ransomware predstavlja značajnu prijetnju organizacijama u različitim industrijama zbog svog potencijalnog uticaja na kritično skladištenje podataka i operativne procese.
ZAKLJUČAK
Cicada ransomware je jedinstven po svom ciljanju Windows i Linux operativnih sistema, što ga čini značajnom prijetnjom za organizacije koje se oslanjaju na jedan ili oba operativna sistema. Ransomware šifruje datoteke na zaraženom sistemu, zahtjevajući plaćanje u kriptovaluti za njihovo dešifrovanje. Nažalost, čak i ako žrtve odluče da plate otkupninu, ne postoji garancija da će ponovo dobiti pristup svojim podacima, jer ovi zlonamjerni akteri često ne ispunjavaju svoja obećanja.
Kreatori Cicada ransomware zlonamjernog softvera su pokazali visok nivo sofisticiranosti u svojim metodama kôdiranja i distribucije. Upotreba Rust sistemskog programskog jezika poznatog po svojim performansama i bezbjednosnim karakteristikama, ukazuje na to da su zlonamjerni akteri vješti programeri koji razumiju važnost bezbjednosti i efikasnosti u svom radu. Štaviše, Cicada ransomware djeli sličnosti sa drugom sada nefunkcionalnom ransomware operacijom pod nazivom BlackCat (ALPHV).
Zanimljivo je da svoje ime djeli sa zagonetnim internet slagalicom poznatom kao Cicada3301 koja je bila aktivna između 2012. i 2014. godine. Međutim, nema dokaza koji ukazuju na bilo kakvu vezu osim zajedničkog naziva. Originalna Cicada3301 je bila intrigantna serija internet slagalica koja se često vrtjela oko kriptografije i tema o sajber bezbjednosti. Tragovi su obično bili praćeni ikoničnim Cicada logotipom, što je mnoge navelo da spekulišu o pravim namjerama organizacije, u rasponu od aktivnosti agencija sa tri slova do napora za regrutovanje unutar kulta. Važno je napomenuti da ove teorije ostaju nedokazane.
U preokretu događaja, neke medijske organizacije su pogrešno pripisali ransomware napade kreatorima originalne serije internet slagalica Cicada3301, međutim analiza sigurnosnih istraživača je pokazala da Cicada ransomware djeli dosta sličnosti sa drugom sada nefunkcionalnom ransomware operacijom pod nazivom BlackCat (ALPHV), kao i da koristi alate koje je ranije koristila BlackByte ransomware grupa. Ove dezinformacije naglašavaju važnost provjere informacija pre njihovog širenja, jer doprinose potencijalnoj konfuziji ili strahu u javnosti.
Sigurnosni istraživači su uspeli da istraže unutrašnje funkcionisanje ove nove ransomware varijante, pružajući vrijedan uvid u njen način rada i potencijalne slabosti. Ovo razumijevanje porijekla, karakteristika i potencijalnog uticaja može pomoći u primjeni efikasnih strategija za zaštitu od ovakvih prijetnji. Sve ovo služi kao podsjetnik na prirodu kibernetičkog kriminala koja se stalno razvija i potrebu za kontinuiranom budnošću i obrazovanjem kako bi se ostalo bezbjednim u sve digitalnijem svetu.
ZAŠTITA
Da biste efikasno zaštitila organizacija od potencijalnog Cicada ransomware napada, implementacija višeslojne bezbjednosne strategije je ključna. Evo nekoliko ključnih koraka koji se mogu preduzeti:
- Uvjeriti se da je sav antivirusni i drugi bezbjednosni softver koji se koristi u organizaciji ažuriran sa najnovijim definicijama i ispravkama. Ovo će pomoći u zaštiti od poznatih zlonamjernih prijetnji, uključujući Cicada ransomware,
- Obrazovati zaposlene o phishing elektronskim porukama i tehnikama društvenog inženjeringa, jer zlonamjerni akteri često koriste phishing elektronske poruke kao sredstvo za infiltriranje u mreže. Redovno obučavajte zaposlene da prepoznaju i izbjegavaju klikanje na sumnjive veze ili preuzimanje priloga iz nepoznatih izvora. Ovo može značajno smanjiti rizik od uvođenja ransomware u sistem organizacije putem napada elektronskom poštom,
- Implementirati robusne procedure za pravljenje rezervnih kopija i oporavak, jer u slučaju da dođe do ransomware napada, postojanje pouzdanog rješenja za pravljenje rezervnih kopija će omogućiti povratak podataka bez plaćanja otkupnine. Redovno testirati rezervne kopije da bi se osiguralo da rade ispravno i da se mogu brzo vratiti kada je potrebno,
- Biti oprezni u pogledu nadgledanja mreže za bilo kakvu neuobičajenu aktivnost koja bi mogla da ukaže na potencijalni napad, kao što je povećan saobraćaj ili neočekivane promjene datoteka. Primjena sistema za otkrivanje upada (eng. intrusion detection systems – IDS) i sistema za sprečavanje upada (eng. intrusion prevention systems – IPS) može pomoći da se identifikuju i blokiraju zlonamjerne aktivnosti pre nego što prouzrokuju štetu,
- Uvjeriti se da se jake lozinke koriste u cijeloj organizaciji i razmislite o primjeni autentifikacije u više koraka da bi se omogućio dodatni nivo bezbjednosti za osjetljive naloge. Ovo će otežati zlonamjernim akterima da dobiju neovlašteni pristup sistemima,
- Održavati sve operativne sisteme, aplikacije i softver ažurnim sa najnovijim ispravkama. Ova ažuriranja često uključuju ispravke za poznate ranjivosti koje bi mogao da iskoristi ransomware ili drugi zlonamjerni softveri,
- Implementirati politiku pristupa sa najmanjim privilegijama, koja korisnicima daje samo dozvole neophodne za obavljanje njihovih radnih funkcija. Ovo će pomoći da se smanji potencijalna šteta ako je nalog kompromitovan. Pored toga, segmentirati mrežu u različite zone na osnovu osjetljivosti i funkcije, ograničavajući bočno kretanje zlonamjernih aktera unutar sistema u slučaju uspješne infiltracije,
- Koristiti softver za detekciju i odgovor na prijetnje (EDR), jer ovi alati mogu da obezbijede vidljivost u realnom vremenu u aktivnostima koje se dešavaju na krajnjim uređajima u organizaciji. Ovo omogućava brzo otkrivanje i reagovanje na potencijalne prijetnje, potencijalno sprečavajući da izazovu štetu ili se šire po mreži organizacije,
- Koristiti rješenja za filtriranje elektronske pošte koja mogu da pomognu u blokiranju elektronskih poruka za krađu identiteta koji sadrže ransomware priloge prije nego što stignu u prijemno sanduče zaposlenih. Ova rješenja bi trebalo da budu u stanju da analiziraju sadržaj elektronskih poruka i priloga na sumnjive aktivnosti, kao što su neobični tipovi datoteka ili linkovi koji vode do zlonamjernih internet lokacija,
- Uvjeriti se da organizacija ima dobro dokumentovan Plan odgovora na sajber prijetnju, koji navodi korake koje treba preduzeti kada dođe do ransomware Redovno pregledati i ažurirati ovaj plan kako bi se osiguralo da ostaje efikasan protiv prijetnji koje se razvijaju kao što je Cicada ransomware.
Primjenom ovih mjera značajno se mogu smanjiti rizici da organizacija postane žrtva ransomware napada kao što je Cicada ransomware. Od suštinske je važnosti ostati na oprezu i prilagoditi svoje bezbjednosne strategije kao odgovor na nove prijetnje i najbolje prakse unutar sajber bezbjednosne zajednice.