Mittwoch · 17.06.2026 Ausgabe 2788 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 286 Tage inaktiv Ransomware-Gruppe · Profil

Cicada3301

75Opfer gesamt
0Opfer (30 Tage)
20.06.2024Erstes Auftreten
InaktivStatus

Überblick

Cicada3301 ist eine Ransomware-as-a-Service-Gruppe, die von Palo Alto unter der Bezeichnung Repellent Scorpius geführt wird. Sie setzt eine in Rust entwickelte Ransomware ein, die auf Windows-, Linux- und ESXi-Systeme abzielt. Damit deckt die Gruppe sowohl klassische Endgeräte und Server als auch Virtualisierungsumgebungen ab, was Angriffe auf die gesamte Infrastruktur eines betroffenen Unternehmens ermöglicht. Es besteht der Verdacht, dass es sich bei Cicada3301 um einen Nachfolger der Gruppierung BlackCat/ALPHV handelt. Die Gruppe betreibt ein Partnerprogramm, in dessen Rahmen Partner gegen eine Beteiligung an den erpressten Erlösen Zugang zur Schadsoftware und zur Infrastruktur erhalten. Durch dieses Modell kann die Schadsoftware über eine Vielzahl unterschiedlicher Partner verbreitet werden, was die Reichweite der Gruppe deutlich erhöht und Angriffe auf Einrichtungen verschiedener Branchen und Regionen begünstigt.

Taktiken & Vorgehen

Zur Vorbereitung und Durchführung ihrer Angriffe greift Cicada3301 auf ein breites Spektrum frei verfügbarer und quelloffener Werkzeuge zurück. Für die Erkundung von Netzwerk und Active Directory kommen ADRecon, PowerView, PowerSploit sowie der Netzwerk-Scanner SoftPerfect NetScan zum Einsatz. Zum Diebstahl von Anmeldedaten und für die laterale Bewegung werden Rubeus, PsExec und WMIC genutzt. Mit EDRSandBlast versucht die Gruppe, Schutzlösungen auf Endgeräten auszuhebeln, während GOST und Plink Tunnel für verdeckte Verbindungen aufbauen. Zur Datenexfiltration dient RClone. Über BCDEdit werden Wiederherstellungsoptionen des Systems manipuliert, um eine Rücksetzung nach der Verschlüsselung zu erschweren.

Schutzmaßnahmen

Der Einsatz von EDRSandBlast unterstreicht, dass Endpoint-Schutzlösungen manipulationssicher konfiguriert und auf Deaktivierungsversuche hin überwacht werden sollten. Da Werkzeuge wie ADRecon, PowerView und Rubeus auf Active Directory zielen, sollten Verzeichnisdienste gehärtet und auffällige Abfragen sowie Kerberos-Anomalien protokolliert werden. Die Nutzung von PsExec und WMIC zur lateralen Bewegung sollte durch Einschränkung administrativer Konten und Überwachung verdächtiger Prozessausführungen erschwert werden. Ausgehender Datenverkehr sollte kontrolliert werden, um Exfiltration über RClone sowie Tunnel über GOST und Plink frühzeitig zu erkennen. Änderungen an der Startkonfiguration durch BCDEdit sollten überwacht werden.

Chronologie

  1. 20.06.2024 Erste bekannte Aktivität
  2. 04.09.2025 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.