ScRansom рансъмуер
Актьорът на заплахата, известен като CosmicBeetle, представи нов персонализиран вариант на ransomware, наречен ScRansom, специално насочен към малки и средни предприятия (SMB) в Европа, Азия, Африка и Южна Америка. Освен това CosmicBeetle е заподозрян, че действа като филиал на групата RansomHub .
Използвайки преди това Scarab Ransomware , CosmicBeetle сега премина към ScRansom, който е в процес на разработка. Въпреки че не е в челните редици на усъвършенствания рансъмуер, групата все пак успя да компрометира забележителни цели.
Съдържание
CosminBeetle е насочен към разнообразен набор от сектори
Атаките на ScRansom са насочени към широк спектър от сектори, включително производство, фармацевтични продукти, правен, образование, здравеопазване, технологии, хотелиерство, свободно време, финансови услуги и регионални правителства.
CosmicBeetle, известен също като NONAME, е най-известен със своя заплашителен инструментариум, Spacecolon, който преди е бил използван за доставяне на Scarab Ransomware на жертви по целия свят. Известно е също, че групата експериментира с изтеклия конструктор LockBit, опитвайки се да се представи за прословутата група LockBit Ransomware в бележки за откуп и на сайтове за изтичане на информация още през ноември 2023 г.
Самоличността и произходът на нападателите остават неясни. По-ранна теория, която сега се смята за малко вероятна, предполага, че те може да са от турски произход поради персонализиран метод за криптиране, открит в друг инструмент, наречен ScHackTool.
Множество уязвимости, използвани от киберпрестъпници
Наблюдавани са вериги от атаки, използващи атаки с груба сила и няколко известни уязвимости в сигурността (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 и CVE-2023 -27532) за проникване в целеви среди.
Проникванията също включват използване на различни инструменти като Reaper, Darkside и RealBlindingEDR за прекратяване на процесите на сигурност и избягване на откриване преди внедряването на базирания на Delphi ScRansom рансъмуер. ScRansom разполага с частично криптиране за ускоряване на процеса на криптиране и включва режим „ИЗТРИВАНЕ“, който презаписва файлове с постоянна стойност, което ги прави невъзстановими.
Възможна връзка с RansomHub
Връзката към RansomHub произтича от наблюдения на изследователи на информационната сигурност, които са открили полезни натоварвания на ScRansom и RansomHub, разположени на една и съща машина в рамките на една седмица. Изправен пред предизвикателствата на разработването на персонализиран рансъмуер от нулата, CosmicBeetle изглежда се е опитал да използва репутацията на LockBit. Тази стратегия може да има за цел да прикрие недостатъците в техния ransomware и да подобри вероятността жертвите да платят откупа.
Операторите на рансъмуер актуализират своите вредни инструменти
От юли 2024 г. участниците в заплаха, свързани с рансъмуера Cicada3301 (известен също като Repellent Scorpius), са наблюдавани, използвайки актуализирана версия на своя шифратор. Тази нова версия включва аргумент на командния ред, --no-note, който не позволява на шифратора да напише бележка за откуп в системата.
Освен това актуализираният шифратор вече не съдържа твърдо кодирани потребителски имена или пароли в двоичния файл. Въпреки това, той все още може да изпълни PsExec, използвайки съществуващи идентификационни данни, техника, отбелязана наскоро от Morphisec. Интересно е, че изследователите на информационната сигурност са открили доказателства, които предполагат, че групата може да притежава данни от по-стари компромиси, които са се случили преди да работят под името Cicada3301.
Това повишава шансовете заплахата да е работила преди това под различна марка рансъмуер или да е придобила данни от други групи за рансъмуер.
