ScRansom Ransomware

أطلق مجرم التهديد المعروف باسم CosmicBeetle نسخة جديدة مخصصة من برامج الفدية تسمى ScRansom، تستهدف بشكل خاص الشركات الصغيرة والمتوسطة الحجم في جميع أنحاء أوروبا وآسيا وأفريقيا وأمريكا الجنوبية. بالإضافة إلى ذلك، يُشتبه في أن CosmicBeetle تعمل كشركة تابعة لمجموعة RansomHub .

كانت مجموعة CosmicBeetle تستخدم في السابق برنامج Scarab Ransomware ، ولكنها انتقلت الآن إلى ScRansom، الذي لا يزال قيد التطوير. ورغم أنها ليست في طليعة برامج الفدية المتطورة، إلا أنها تمكنت من اختراق أهداف جديرة بالملاحظة.

تستهدف CosminBeetle مجموعة متنوعة من القطاعات

استهدفت هجمات ScRansom مجموعة واسعة من القطاعات، بما في ذلك التصنيع والأدوية والقانون والتعليم والرعاية الصحية والتكنولوجيا والضيافة والترفيه والخدمات المالية والحكومات الإقليمية.

تشتهر مجموعة CosmicBeetle، المعروفة أيضًا باسم NONAME، بمجموعة أدواتها الخطيرة Spacecolon، والتي استُخدمت سابقًا لتوصيل فيروس Scarab Ransomware إلى الضحايا في جميع أنحاء العالم. كما عُرف عن المجموعة أنها تجري تجارب على برنامج LockBit المسرّب، في محاولة لانتحال شخصية مجموعة LockBit Ransomware سيئة السمعة في مذكرات الفدية وعلى مواقع التسريبات في وقت مبكر من نوفمبر 2023.

لا تزال هوية المهاجمين وأصلهم غير واضحة. كانت هناك نظرية سابقة، تعتبر الآن غير محتملة، تشير إلى أنهم ربما يكونون من أصل تركي بسبب طريقة تشفير مخصصة موجودة في أداة أخرى تسمى ScHackTool.

نقاط ضعف متعددة يستغلها مجرمو الإنترنت

لقد تم ملاحظة سلاسل الهجوم التي تستغل هجمات القوة الغاشمة والعديد من الثغرات الأمنية المعروفة (CVE-2017-0144، وCVE-2020-1472، وCVE-2021-42278، وCVE-2021-42287، وCVE-2022-42475، وCVE-2023-27532) لاختراق البيئات المستهدفة.

تتضمن عمليات الاختراق أيضًا استخدام أدوات مختلفة مثل Reaper و Darkside وRealBlindingEDR لإنهاء عمليات الأمان وتجنب الاكتشاف قبل نشر برنامج الفدية ScRansom المستند إلى Delphi. يتميز ScRansom بالتشفير الجزئي لتسريع عملية التشفير ويتضمن وضع "ERASE" الذي يستبدل الملفات بقيمة ثابتة، مما يجعلها غير قابلة للاسترداد.

اتصال محتمل بـ RansomHub

ينشأ الرابط بين RansomHub وبرمجيات الفدية من ملاحظات باحثي الأمن المعلوماتي الذين وجدوا حمولات ScRansom وRansomHub تم نشرها على نفس الجهاز في غضون أسبوع. وفي مواجهة تحديات تطوير برامج الفدية المخصصة من الصفر، يبدو أن CosmicBeetle حاولت الاستفادة من سمعة LockBit. قد تكون هذه الاستراتيجية تهدف إلى إخفاء العيوب في برامج الفدية الخاصة بهم وتحسين احتمالية قيام الضحايا بدفع الفدية.

مشغلو برامج الفدية يقومون بتحديث أدواتهم الضارة

منذ يوليو 2024، لوحظ أن الجهات الفاعلة المرتبطة ببرنامج الفدية Cicada3301 (المعروف أيضًا باسم Repellent Scorpius) تستخدم إصدارًا محدثًا من برنامج التشفير الخاص بها. يتضمن هذا الإصدار الجديد وسيطة سطر أوامر، --no-note، والتي تمنع برنامج التشفير من كتابة مذكرة فدية إلى النظام.

بالإضافة إلى ذلك، لم يعد برنامج التشفير المحدث يحتوي على أسماء مستخدمين أو كلمات مرور مبرمجة مسبقًا داخل الملف الثنائي. ومع ذلك، لا يزال بإمكانه تنفيذ PsExec باستخدام بيانات اعتماد موجودة، وهي تقنية لاحظتها Morphisec مؤخرًا. ومن المثير للاهتمام أن باحثي الأمن المعلوماتي اكتشفوا أدلة تشير إلى أن المجموعة قد تمتلك بيانات من اختراقات أقدم حدثت قبل أن تعمل تحت اسم Cicada3301.

وهذا يزيد من احتمالات أن يكون الفاعل في التهديد قد عمل سابقًا تحت علامة تجارية مختلفة لبرامج الفدية أو حصل على بيانات من مجموعات برامج الفدية الأخرى.