あなたの組織はCicada3301の攻撃から安全ですか？

セミの起源3301

Cicada3301ランサムウェアは、その名前とロゴを2012年から2014年にかけてインターネット上で行われた悪名高いパズル「Cicada 3301」から取っています。しかし、現在のランサムウェア・アズ・ア・サービス（RaaS）作戦は、オリジナルのパズルとは何の関係もない。正規のCicada 3301組織は、この犯罪行為を公に非難している。

このランサムウェアキャンペーンは、RAMPサイバー犯罪フォーラムを通じて、2024年6月29日に積極的にアフィリエイトを募集し始めた。このランサムウェアはALPHV/BlackCatランサムウェアと大きな類似点があり、同じコードベースを使用するリブランドまたは分派グループの可能性を示唆しています。

ターゲット

Cicada3301のターゲット

Cicada3301の対象国

セミの主な標的は北米と英国だが、最近の被害者の中にはスイスとノルウェーの企業もある。

Cicada3301の対象産業

Cicada3301は、中小企業、特にVMware ESXiを使用しているエンタープライズ環境を持つ中小企業を標的としています。Cicada3301は、仮想マシンのオペレーションを中断させ、リカバリの選択肢をなくすことで、被害を最大化するよう戦略的に設計されています。

Cicada3301の対象産業

Cicada3301は、中小企業、特にVMware ESXiを使用しているエンタープライズ環境を持つ中小企業を標的としています。Cicada3301は、仮想マシンのオペレーションを中断させ、リカバリの選択肢をなくすことで、被害を最大化するよう戦略的に設計されています。

Cicada3301の犠牲者

現在のところ、26人の被害者がCicada3301の恐喝サイトに公表されている。このランサムウェアは、価値の高い資産や重要なインフラを持つ企業を標的としており、被害者に身代金を支払うよう最大限の圧力をかけている。

^ソース^{ランサムウェア・ライブ}

攻撃方法

Cicada3301の攻撃方法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Cicada3301は、Cisco、Fortinet、Palo Alto、およびSonicWallデバイスのVPNブルートフォース用のBrutusボットネットを使用する可能性があり、盗まれた認証情報またはブルートフォースされた認証情報を介してアクセスします。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

このランサムウェアは、有効な認証情報を使って特権を昇格させ、多くの場合、PSEXECのようなコマンドラインツールを使ってセキュリティシステムを迂回する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

スリープ機能を使って実行を遅らせたり、EDRソリューションを改ざんしたり、シャドウコピーを削除して復旧を阻害したりする。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

認証情報窃取の統合技術は、ブルートフォースまたは窃取したパスワードを活用し、さらなるネットワーク侵入のために使用される。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ファイルタイプと仮想マシンのネットワークをスキャンし、暗号化の効果を最適化するためにスナップショットをシャットダウンまたは削除します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

侵害された認証情報とPSEXECのようなツールを利用してネットワーク全体に拡散する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

暗号化を開始する前に、特定の拡張子に基づいて文書やメディアファイルを収集します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ChaCha20アルゴリズムを使ってファイルを暗号化し、大きなファイルには断続的な暗号化を適用し、7文字の拡張子を付加する。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

現在のところ、データ流出が優先事項であることを示す証拠はないが、将来的な能力を否定することはできない。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

重要なファイルを暗号化し、VMをシャットダウンし、リカバリスナップショットを削除することで、混乱を最大化します。

初期アクセス

Cicada3301は、Cisco、Fortinet、Palo Alto、およびSonicWallデバイスのVPNブルートフォース用のBrutusボットネットを使用する可能性があり、盗まれた認証情報またはブルートフォースされた認証情報を介してアクセスします。

特権エスカレーション

このランサムウェアは、有効な認証情報を使って特権を昇格させ、多くの場合、PSEXECのようなコマンドラインツールを使ってセキュリティシステムを迂回する。

防御回避

スリープ機能を使って実行を遅らせたり、EDRソリューションを改ざんしたり、シャドウコピーを削除して復旧を阻害したりする。

クレデンシャル・アクセス

認証情報窃取の統合技術は、ブルートフォースまたは窃取したパスワードを活用し、さらなるネットワーク侵入のために使用される。

ディスカバリー

ファイルタイプと仮想マシンのネットワークをスキャンし、暗号化の効果を最適化するためにスナップショットをシャットダウンまたは削除します。

横の動き

侵害された認証情報とPSEXECのようなツールを利用してネットワーク全体に拡散する。

コレクション

暗号化を開始する前に、特定の拡張子に基づいて文書やメディアファイルを収集します。

実行

ChaCha20アルゴリズムを使ってファイルを暗号化し、大きなファイルには断続的な暗号化を適用し、7文字の拡張子を付加する。

データ流出

現在のところ、データ流出が優先事項であることを示す証拠はないが、将来的な能力を否定することはできない。

インパクト

重要なファイルを暗号化し、VMをシャットダウンし、リカバリスナップショットを削除することで、混乱を最大化します。

MITRE ATT&CK マッピング

Cicada3301が使用したTTP

TA0001: Initial Access

No items found.

TA0002: Execution

No items found.

TA0003: Persistence

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1218

System Binary Proxy Execution

T1027

Obfuscated Files or Information

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

プラットフォーム検出

検知 Cicada3301 withVectra AI

External Remote Access

Kerberos Brute-Sweep

M365 Suspect eDiscovery Usage

M365 Suspicious Power Automate Flow Creation

Malware Update

Privilege Anomaly: Unusual Account on Host

攻撃の危険性を評価する

よくあるご質問(FAQ)

Cicada3301ランサムウェアとは？

Cicada3301 は Rust ベースのランサムウェアで、中小企業（SMB）を標的としてデータを暗号化し、システムを使用不能にすることで業務を妨害します。

Cicada3301はどのようにして最初のアクセスを得るのですか？

ランサムウェアは通常、ネットワーク内の脆弱性を悪用し、侵害された認証情報を使って、しばしば日和見的な攻撃によって最初の足場を築く。

暗号化方式は？

Cicada3301はOAEPパディングを使用したRSA暗号化を採用しており、暗号化されたファイルは非常に安全で、適切なキーなしでは解読が困難です。

Cicada3301はどのようにして検知を逃れるのか？

Cicada3301は、EDRSやBlastのようなツールを使用してEDR（Endpoint Detection and Response ）システムを無効にしたり、シャドウコピーを削除して復旧を防ぐなど、検知を回避する高度なテクニックを使用します。

Cicada3301の影響を最も受ける産業は？

Cicada3301は主に中小企業をターゲットにしているが、様々な業種の企業が脆弱であり、特にサイバーセキュリティの態勢が脆弱な企業はその影響を受けやすい。

Cicada3301はリカバリーを無効にするためにどのようなテクニックを使うのですか？

Cicada3301は、"vssadmin "コマンドを使ってシャドウコピーを削除し、"bcdedit "ユーティリティを使ってリカバリ設定を改ざんすることで、システムのリカバリオプションを無効にする。

Cicada3301はデータを流出させるのか？

このランサムウェアの主な目的は暗号化だが、使用するインフラから、今後のキャンペーンでデータを流出させる可能性があることが示唆される。

Cicada3301ランサムウェアはどのように検出されるのか？

Vectra AIが提供するような高度なネットワーク検知およびレスポンスツールは、検知異常なネットワーク動作、漏洩した認証情報、横方向の動きなどを検知し、Cicada3301のような脅威が被害をもたらす前に早期に特定することを可能にする。

検知 Cicada3301を私の環境で使用した場合、どうすればよいですか？

早急な対策としては、影響を受けたシステムを隔離し、サイバーセキュリティの専門家と連携する必要がある。Vectra AI Platformのようなソリューションは、リアルタイムの検知、自動応答、インシデント発生後のフォレンジック分析を提供し、ランサムウェアの脅威を迅速に軽減する。

Cicada3301 ランサムウェアから身を守るには？

Vectra AI Platform などのプロアクティブな防御戦略は、継続的なネットワーク監視、AI主導の脅威の検知、ランサムウェアの活動の早期段階での特定を提供します。これには、特権の昇格、横方向への移動、防御を無効化する試みの検出が含まれ、ランサムウェアが重大な損害を引き起こす前に確実に阻止します。