ScRansom Ransomware
Ο ηθοποιός απειλών γνωστός ως CosmicBeetle παρουσίασε μια νέα προσαρμοσμένη παραλλαγή ransomware που ονομάζεται ScRansom, που στοχεύει συγκεκριμένα τις μικρομεσαίες επιχειρήσεις (SMB) σε όλη την Ευρώπη, την Ασία, την Αφρική και τη Νότια Αμερική. Επιπλέον, το CosmicBeetle είναι ύποπτο ότι ενεργούσε ως θυγατρική για την ομάδα RansomHub .
Στο παρελθόν χρησιμοποιούσε το Scarab Ransomware , το CosmicBeetle έχει πλέον μεταβεί στο ScRansom, το οποίο βρίσκεται υπό συνεχή ανάπτυξη. Αν και δεν βρίσκεται στην πρώτη γραμμή της πολυπλοκότητας του ransomware, η ομάδα έχει καταφέρει ακόμα να συμβιβάσει αξιόλογους στόχους.
Πίνακας περιεχομένων
Το CosminBeetle στοχεύει σε ένα διαφορετικό σύνολο τομέων
Οι επιθέσεις ScRansom έχουν στοχεύσει ένα ευρύ φάσμα τομέων, συμπεριλαμβανομένων της μεταποίησης, των φαρμακευτικών προϊόντων, των νομικών, της εκπαίδευσης, της υγειονομικής περίθαλψης, της τεχνολογίας, της φιλοξενίας, της αναψυχής, των χρηματοοικονομικών υπηρεσιών και των περιφερειακών κυβερνήσεων.
Το CosmicBeetle, γνωστό και ως NONAME, είναι περισσότερο αναγνωρισμένο για το απειλητικό πακέτο εργαλείων του, το Spacecolon, το οποίο χρησιμοποιήθηκε στο παρελθόν για την παράδοση του Scarab Ransomware σε θύματα παγκοσμίως. Η ομάδα είναι επίσης γνωστό ότι πειραματίζεται με το πρόγραμμα δημιουργίας LockBit που διέρρευσε, προσπαθώντας να μιμηθεί τη διαβόητη ομάδα LockBit Ransomware σε σημειώσεις λύτρων και σε ιστότοπους διαρροής ήδη από τον Νοέμβριο του 2023.
Η ταυτότητα και η προέλευση των δραστών παραμένουν αδιευκρίνιστα. Μια παλαιότερη θεωρία, που τώρα θεωρείται απίθανη, πρότεινε ότι μπορεί να είναι τουρκικής προέλευσης λόγω μιας προσαρμοσμένης μεθόδου κρυπτογράφησης που βρέθηκε σε ένα άλλο εργαλείο που ονομάζεται ScHackTool.
Πολλαπλές ευπάθειες που εκμεταλλεύονται κυβερνοεγκληματίες
Αλυσίδες επιθέσεων έχουν παρατηρηθεί να εκμεταλλεύονται επιθέσεις ωμής βίας και αρκετά γνωστά τρωτά σημεία ασφαλείας (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022,3-42 -27532) για διείσδυση σε περιβάλλοντα στόχους.
Οι εισβολές περιλαμβάνουν επίσης τη χρήση διαφόρων εργαλείων όπως το Reaper, το Darkside και το RealBlindingEDR για τον τερματισμό των διαδικασιών ασφαλείας και την αποφυγή εντοπισμού πριν από την ανάπτυξη του ScRansom Ransomware που βασίζεται στους Delphi. Το ScRansom διαθέτει μερική κρυπτογράφηση για να επιταχύνει τη διαδικασία κρυπτογράφησης και περιλαμβάνει μια λειτουργία «ΔΙΑΓΡΑΦΗ» που αντικαθιστά αρχεία με σταθερή τιμή, καθιστώντας τα μη ανακτήσιμα.
Πιθανή σύνδεση στο RansomHub
Η σύνδεση με το RansomHub προκύπτει από παρατηρήσεις ερευνητών της infosec που βρήκαν ωφέλιμα φορτία ScRansom και RansomHub που αναπτύσσονται στο ίδιο μηχάνημα μέσα σε μια εβδομάδα. Αντιμετωπίζοντας τις προκλήσεις της ανάπτυξης προσαρμοσμένου ransomware από την αρχή, το CosmicBeetle φαίνεται να προσπάθησε να αξιοποιήσει τη φήμη του LockBit. Αυτή η στρατηγική μπορεί να έχει σκοπό να κρύψει τα ελαττώματα στο ransomware τους και να βελτιώσει την πιθανότητα τα θύματα να πληρώσουν τα λύτρα.
Οι χειριστές ransomware ενημερώνουν τα επιβλαβή εργαλεία τους
Από τον Ιούλιο του 2024, παράγοντες απειλών που σχετίζονται με το Cicada3301 Ransomware (επίσης γνωστό ως Repellent Scorpius) έχουν παρατηρηθεί χρησιμοποιώντας μια ενημερωμένη έκδοση του κρυπτογραφητή τους. Αυτή η νέα έκδοση περιλαμβάνει ένα όρισμα γραμμής εντολών, --no-note, το οποίο εμποδίζει τον κρυπτογράφηση να γράψει μια σημείωση λύτρων στο σύστημα.
Επιπλέον, ο ενημερωμένος κρυπτογραφητής δεν περιέχει πλέον κωδικοποιημένα ονόματα χρήστη ή κωδικούς πρόσβασης στο δυαδικό αρχείο. Ωστόσο, μπορεί ακόμα να εκτελέσει το PsExec χρησιμοποιώντας υπάρχοντα διαπιστευτήρια, μια τεχνική που σημειώθηκε πρόσφατα από την Morphisec. Περιέργως, οι ερευνητές της infosec έχουν εντοπίσει στοιχεία που υποδηλώνουν ότι η ομάδα μπορεί να κατέχει δεδομένα από παλαιότερους συμβιβασμούς που συνέβησαν πριν λειτουργήσουν με το όνομα Cicada3301.
Αυτό αυξάνει τις πιθανότητες ο παράγοντας απειλής να λειτουργούσε στο παρελθόν με διαφορετική επωνυμία ransomware ή να είχε αποκτήσει δεδομένα από άλλες ομάδες ransomware.
