ScRansom Ransomware

L'actor d'amenaces conegut com a CosmicBeetle ha introduït una nova variant de ransomware personalitzada anomenada ScRansom, dirigida específicament a les petites i mitjanes empreses (SMB) d'Europa, Àsia, Àfrica i Amèrica del Sud. A més, se sospita que CosmicBeetle actua com a filial del grup RansomHub .

Abans utilitzava Scarab Ransomware , CosmicBeetle ara ha passat a ScRansom, que està en desenvolupament. Tot i que no està a l'avantguarda de la sofisticació del ransomware, el grup encara ha aconseguit comprometre objectius destacables.

CosminBeetle s'orienta a un conjunt divers de sectors

Els atacs de ScRansom s'han dirigit a una àmplia gamma de sectors, com ara la indústria manufacturera, farmacèutica, legal, educació, sanitat, tecnologia, hostaleria, oci, serveis financers i governs regionals.

CosmicBeetle, també conegut com NONAME, és més reconegut pel seu conjunt d'eines amenaçadores, Spacecolon, que abans s'utilitzava per lliurar el ransomware Scarab a les víctimes de tot el món. També se sap que el grup ha experimentat amb el creador de LockBit filtrat, intentant suplantar el famós grup LockBit Ransomware en notes de rescat i en llocs de filtració des del novembre de 2023.

La identitat i l'origen dels atacants encara no estan clars. Una teoria anterior, ara considerada poc probable, suggeria que podrien ser d'origen turc a causa d'un mètode de xifratge personalitzat que es troba en una altra eina anomenada ScHackTool.

Vulnerabilitats múltiples explotades pels ciberdelinqüents

S'han observat cadenes d'atac que exploten atacs de força bruta i diverses vulnerabilitats de seguretat conegudes (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 i CVE-2023). -27532) per penetrar en entorns objectiu.

Les intrusions també impliquen l'ús de diverses eines com Reaper, Darkside i RealBlindingEDR per finalitzar els processos de seguretat i evitar la detecció abans de desplegar el ScRansom Ransomware basat en Delphi. ScRansom inclou un xifratge parcial per accelerar el procés de xifratge i inclou un mode "ERASE" que sobreescriu els fitxers amb un valor constant, fent-los irrecuperables.

Possible connexió a RansomHub

L'enllaç a RansomHub sorgeix d'observacions d'investigadors infosec que van trobar càrregues útils ScRansom i RansomHub desplegades a la mateixa màquina en una setmana. Davant dels reptes de desenvolupar ransomware personalitzat des de zero, sembla que CosmicBeetle ha intentat aprofitar la reputació de LockBit. Aquesta estratègia pot tenir la intenció d'enfosquir defectes del seu ransomware i millorar la probabilitat que les víctimes paguin el rescat.

Els operadors de ransomware actualitzen les seves eines perjudicials

Des del juliol de 2024, s'han observat actors d'amenaça associats amb el Cicada3301 Ransomware (també conegut com a repel·lent Scorpius) utilitzant una versió actualitzada del seu xifrador. Aquesta nova versió inclou un argument de línia d'ordres, --no-note, que impedeix que l'encriptador escrigui una nota de rescat al sistema.

A més, l'encriptador actualitzat ja no conté noms d'usuari o contrasenyes codificats dins del binari. Tanmateix, encara pot executar PsExec utilitzant les credencials existents, una tècnica que Morphisec ha assenyalat recentment. Curiosament, els investigadors d'infosec han detectat proves que suggereixen que el grup pot tenir dades de compromisos més antics que es van produir abans d'operar amb el nom Cicada3301.

Això augmenta les possibilitats que l'actor de l'amenaça hagi operat prèviament amb una marca de ransomware diferent o hagi adquirit dades d'altres grups de ransomware.