ScRansom Ransomware
Aktér hrozeb známý jako CosmicBeetle představil novou vlastní variantu ransomwaru nazvanou ScRansom, konkrétně zaměřenou na malé a střední podniky (SMB) v Evropě, Asii, Africe a Jižní Americe. Kromě toho je CosmicBeetle podezřelý, že působí jako přidružená společnost skupiny RansomHub .
CosmicBeetle, který dříve používal Scarab Ransomware , nyní přešel na ScRansom, který je ve vývoji. Přestože skupina není v popředí sofistikovanosti ransomwaru, stále se jí podařilo kompromitovat pozoruhodné cíle.
Obsah
CosminBeetle se zaměřuje na různorodou sadu sektorů
Útoky ScRansom se zaměřovaly na širokou škálu odvětví, včetně výroby, farmacie, práva, vzdělávání, zdravotnictví, technologií, pohostinství, volného času, finančních služeb a regionálních vlád.
CosmicBeetle, také známý jako NONAME, je nejvíce uznáván pro svou hrozivou sadu nástrojů Spacecolon, která se dříve používala k doručování Scarab Ransomware obětem po celém světě. O skupině je také známo, že experimentuje s uniklým tvůrcem LockBit a pokoušela se vydávat za notoricky známou skupinu LockBit Ransomware v poznámkách o výkupném a na stránkách úniku již v listopadu 2023.
Identita a původ útočníků zůstávají nejasné. Dřívější teorie, která je nyní považována za nepravděpodobnou, naznačovala, že by mohly být tureckého původu kvůli vlastní metodě šifrování nalezené v jiném nástroji zvaném ScHackTool.
Mnohočetné zranitelnosti zneužívané kyberzločinci
Byly pozorovány řetězce útoků využívajících útoky hrubou silou a několik známých bezpečnostních zranitelností (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-424025 a CVE-2022-424023 -27532) k pronikání do cílových prostředí.
Narušení také zahrnují použití různých nástrojů, jako je Reaper, Darkside a RealBlindingEDR, k ukončení bezpečnostních procesů a zamezení odhalení před nasazením ScRansom Ransomware založeného na Delphi. ScRansom nabízí částečné šifrování pro urychlení procesu šifrování a zahrnuje režim 'ERASE', který přepisuje soubory s konstantní hodnotou, takže je nelze obnovit.
Možné připojení k RansomHub
Odkaz na RansomHub pochází z pozorování výzkumníků z infosec, kteří našli užitečné zatížení ScRansom a RansomHub nasazené na stejném stroji během týdne. Zdá se, že CosmicBeetle čelí výzvám vývoje vlastního ransomwaru od nuly a snaží se využít reputaci LockBit. Tato strategie může mít za cíl zakrýt nedostatky v jejich ransomwaru a zvýšit pravděpodobnost, že oběti zaplatí výkupné.
Provozovatelé ransomwaru aktualizují své škodlivé nástroje
Od července 2024 byli aktéři hrozeb spojení s Cicada3301 Ransomware (také známý jako Repellent Scorpius) pozorováni pomocí aktualizované verze jejich šifrovače. Tato nová verze obsahuje argument příkazového řádku --no-note, který zabraňuje šifrátoru zapsat do systému poznámku o výkupném.
Kromě toho aktualizovaný šifrovač již neobsahuje pevně zakódovaná uživatelská jména nebo hesla v binárním kódu. Stále však může spouštět PsExec pomocí stávajících přihlašovacích údajů, což je technika, kterou nedávno poznamenal Morphisec. Je zajímavé, že výzkumníci z Infosec objevili důkazy naznačující, že skupina může vlastnit data ze starších kompromisů, ke kterým došlo předtím, než fungovala pod názvem Cicada3301.
To zvyšuje šance, že aktér hrozby mohl dříve fungovat pod jinou značkou ransomwaru nebo získat data od jiných skupin ransomwaru.
