ScRansom Ransomware
CosmicBeetle’i nime all tuntud ohutegija on kasutusele võtnud uue kohandatud lunavaravariandi nimega ScRansom, mis on konkreetselt suunatud väikestele ja keskmise suurusega ettevõtetele (VKEd) Euroopas, Aasias, Aafrikas ja Lõuna-Ameerikas. Lisaks kahtlustatakse, et CosmicBeetle tegutseb RansomHubi grupi sidusettevõttena.
Varem Scarab Ransomware'i kasutanud CosmicBeetle on nüüd üle läinud ScRansomile, mida arendatakse pidevalt. Kuigi grupp ei ole lunavara keerukuse poolest esirinnas, on grupp siiski suutnud märkimisväärseid sihtmärke ületada.
Sisukord
CosminBeetle sihib erinevaid sektoreid
ScRansomi rünnakud on olnud suunatud paljudele sektoritele, sealhulgas tootmine, farmaatsia, õigus, haridus, tervishoid, tehnoloogia, hotellindus, vaba aeg, finantsteenused ja piirkondlikud valitsused.
CosmicBeetle, tuntud ka kui NONAME, on enim tunnustatud oma ähvardava tööriistakomplekti Spacecoloni poolest, mida varem kasutati Scarab Ransomware'i ohvritele üle maailma toimetamiseks. Rühm on teadaolevalt katsetanud ka lekkinud LockBiti ehitajaga, üritades juba 2023. aasta novembris esineda kurikuulsa LockBit Ransomware grupina lunarahakirjades ja lekkesaitidel.
Ründajate isik ja päritolu on ebaselge. Varasem teooria, mida praegu peetakse ebatõenäoliseks, viitas sellele, et need võivad olla Türgi päritolu kohandatud krüpteerimismeetodi tõttu, mis leiti teises tööriistas nimega ScHackTool.
Küberkurjategijate poolt ära kasutatud mitu haavatavust
Täheldatud on ründeahelaid, mis kasutavad ära toore jõuga rünnakuid ja mitmeid teadaolevaid turvaauke (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 ja CVE-2022-42475). -27532), et tungida sihtkeskkondadesse.
Sissetungimine hõlmab ka mitmesuguste tööriistade (nt Reaper, Darkside ja RealBlindingEDR) kasutamist, et lõpetada turvaprotsessid ja vältida tuvastamist enne Delphi-põhise ScRansom Ransomware juurutamist. ScRansom pakub krüpteerimisprotsessi kiirendamiseks osalist krüptimist ja sisaldab režiimi "ERASE", mis kirjutab konstantse väärtusega failid üle, muutes need taastamatuks.
Võimalik ühendus RansomHubiga
Link RansomHubiga tuleneb infoseci teadlaste vaatlustest, kes leidsid, et ScRansomi ja RansomHubi kasulikud koormused olid nädala jooksul samas masinas kasutusele võetud. Seistes silmitsi kohandatud lunavara nullist väljatöötamise väljakutsetega, näib, et CosmicBeetle on püüdnud LockBiti mainet kasutada. Selle strateegia eesmärk võib olla nende lunavara puuduste varjamiseks ja tõenäosuse suurendamiseks, et ohvrid maksavad lunaraha.
Lunavaraoperaatorid värskendavad oma kahjulikke tööriistu
Alates 2024. aasta juulist on Cicada3301 lunavaraga (tuntud ka kui Repellent Scorpius) seotud ohutegureid jälgitud, kasutades nende krüpteerija uuendatud versiooni. See uus versioon sisaldab käsurea argumenti --no-note, mis takistab krüpteerijal süsteemile lunaraha kirja panemast.
Lisaks ei sisalda värskendatud krüpteerija enam kahendfailis kõvakodeeritud kasutajanimesid ega paroole. Siiski saab see siiski käivitada PsExeci olemasolevate mandaatide abil, mille Morphisec hiljuti märkis. Huvitaval kombel on infoseci teadlased avastanud tõendeid, mis viitavad sellele, et rühmal võib olla andmeid vanemate kompromisside kohta, mis leidsid aset enne, kui nad tegutsesid Cicada3301 nime all.
See suurendab tõenäosust, et ohustaja võis varem tegutseda mõne muu lunavarabrändi all või hankida andmeid teistelt lunavaragruppidelt.
