ScRansom Ransomware
Trusselsaktøren kendt som CosmicBeetle har introduceret en ny tilpasset ransomware-variant kaldet ScRansom, der specifikt er rettet mod små og mellemstore virksomheder (SMB'er) på tværs af Europa, Asien, Afrika og Sydamerika. Derudover er CosmicBeetle mistænkt for at fungere som en affiliate for RansomHub- gruppen.
Tidligere brugte Scarab Ransomware , er CosmicBeetle nu gået over til ScRansom, som er under løbende udvikling. Selvom det ikke er på forkant med ransomware-sofistikering, har gruppen stadig formået at kompromittere bemærkelsesværdige mål.
Indholdsfortegnelse
CosminBeetle er rettet mod et forskelligt sæt af sektorer
ScRansom-angreb har rettet sig mod en lang række sektorer, herunder fremstilling, farmaceutiske produkter, jura, uddannelse, sundhedspleje, teknologi, gæstfrihed, fritid, finansiel service og regionale myndigheder.
CosmicBeetle, også kendt som NONAME, er mest anerkendt for sit truende værktøjssæt, Spacecolon, som tidligere blev brugt til at levere Scarab Ransomware til ofre over hele verden. Gruppen har også været kendt for at eksperimentere med den lækkede LockBit-bygger, der forsøgte at efterligne den berygtede LockBit Ransomware- gruppe i løsepenge og på lækagesider allerede i november 2023.
Angribernes identitet og oprindelse er stadig uklar. En tidligere teori, som nu anses for usandsynlig, foreslog, at de kunne være af tyrkisk oprindelse på grund af en brugerdefineret krypteringsmetode fundet i et andet værktøj kaldet ScHackTool.
Flere sårbarheder udnyttet af cyberkriminelle
Angrebskæder er blevet observeret udnytte brute-force-angreb og adskillige kendte sikkerhedssårbarheder (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 og 3 CVE-202 -27532) for at trænge ind i målmiljøer.
Indtrængen indebærer også brug af forskellige værktøjer såsom Reaper, Darkside og RealBlindingEDR for at afslutte sikkerhedsprocesser og undgå opdagelse før implementering af den Delphi-baserede ScRansom Ransomware. ScRansom har delvis kryptering for at accelerere krypteringsprocessen og inkluderer en 'ERASE'-tilstand, der overskriver filer med en konstant værdi, hvilket gør dem uoprettelige.
Mulig forbindelse til RansomHub
Linket til RansomHub stammer fra observationer fra infosec-forskere, der fandt ScRansom- og RansomHub-nyttelast installeret på den samme maskine inden for en uge. Over for udfordringerne med at udvikle tilpasset ransomware fra bunden ser CosmicBeetle ud til at have forsøgt at udnytte LockBits omdømme. Denne strategi kan have til formål at skjule fejl i deres ransomware og forbedre sandsynligheden for, at ofrene betaler løsesummen.
Ransomware-operatører opdaterer deres skadelige værktøjer
Siden juli 2024 er trusselsaktører forbundet med Cicada3301 Ransomware (også kendt som Repellent Scorpius) blevet observeret ved hjælp af en opdateret version af deres kryptering. Denne nye version indeholder et kommandolinjeargument, --no-note, som forhindrer kryptering i at skrive en løsesumseddel til systemet.
Derudover indeholder den opdaterede kryptering ikke længere hårdkodede brugernavne eller adgangskoder i binæren. Det kan dog stadig udføre PsExec ved hjælp af eksisterende legitimationsoplysninger, en teknik, der for nylig blev bemærket af Morphisec. Interessant nok har infosec-forskere opdaget beviser, der tyder på, at gruppen kan besidde data fra ældre kompromiser, der fandt sted, før de opererede under navnet Cicada3301.
Dette øger chancerne for, at trusselsaktøren tidligere kan have opereret under et andet ransomware-mærke eller erhvervet data fra andre ransomware-grupper.