باج افزار ScRansom
عامل تهدید معروف به CosmicBeetle یک نوع باج افزار سفارشی جدید به نام ScRansom را معرفی کرده است که به طور خاص مشاغل کوچک و متوسط (SMB) را در سراسر اروپا، آسیا، آفریقا و آمریکای جنوبی هدف قرار می دهد. علاوه بر این، CosmicBeetle مظنون به فعالیت به عنوان یک وابسته برای گروه RansomHub است.
قبلاً از باج افزار Scarab استفاده می کرد، CosmicBeetle اکنون به ScRansom منتقل شده است که در حال توسعه است. اگرچه این گروه در خط مقدم پیچیدگی باج افزار نیست، اما همچنان موفق شده است اهداف قابل توجهی را به خطر بیاندازد.
فهرست مطالب
CosminBeetle مجموعه متنوعی از بخش ها را هدف قرار می دهد
حملات ScRansom طیف گستردهای از بخشها از جمله تولید، داروسازی، حقوقی، آموزش، مراقبتهای بهداشتی، فناوری، مهماننوازی، اوقات فراغت، خدمات مالی و دولتهای منطقه را هدف قرار دادهاند.
CosmicBeetle که با نام NONAME نیز شناخته میشود، بیشتر به خاطر جعبه ابزار تهدیدکنندهاش، Spacecolon، که قبلاً برای تحویل باجافزار Scarab به قربانیان در سراسر جهان استفاده میشد، شناخته شده است. این گروه همچنین به آزمایش با سازنده لوکبیت لو رفته و تلاش برای جعل هویت گروه بدنام LockBit Ransomware در یادداشتهای باج و در سایتهای درز در اوایل نوامبر 2023 مشهور است.
هویت و منشاء مهاجمان هنوز مشخص نیست. یک نظریه قبلی، که اکنون بعید تلقی میشود، نشان میدهد که ممکن است به دلیل یک روش رمزگذاری سفارشی موجود در ابزار دیگری به نام ScHackTool، منشأ ترکی داشته باشند.
چندین آسیب پذیری مورد سوء استفاده مجرمان سایبری
زنجیرههای حمله مشاهده شدهاند که از حملات brute-force و چندین آسیبپذیری امنیتی شناختهشده (CVE-2017-0144، CVE-2020-1472، CVE-2021-42278، CVE-2021-42287، CVE-202227-42، CVE-2022، و CVE-2022، و CVE-2027-42) استفاده میکنند. -27532) برای نفوذ به محیط های هدف.
این نفوذ همچنین شامل استفاده از ابزارهای مختلفی مانند Reaper، Darkside و RealBlindingEDR برای پایان دادن به فرآیندهای امنیتی و جلوگیری از شناسایی قبل از استقرار باجافزار ScRansom مبتنی بر دلفی است. ScRansom دارای رمزگذاری جزئی برای تسریع فرآیند رمزگذاری است و شامل حالت "ERASE" است که فایلهایی را با مقدار ثابت بازنویسی میکند و آنها را غیرقابل بازیابی میکند.
اتصال احتمالی به RansomHub
پیوند به RansomHub از مشاهدات محققان infosec ناشی می شود که دریافتند بارهای ScRansom و RansomHub در یک دستگاه در یک هفته مستقر شده اند. در مواجهه با چالشهای توسعه باجافزار سفارشی از ابتدا، به نظر میرسد که CosmicBeetle تلاش کرده است تا از شهرت LockBit استفاده کند. این استراتژی ممکن است برای پنهان کردن نقص در باج افزار آنها و بهبود احتمال پرداخت باج توسط قربانیان باشد.
اپراتورهای باج افزار ابزارهای آسیب رسان خود را به روز می کنند
از ژوئیه 2024، عوامل تهدید مرتبط با باج افزار Cicada3301 (همچنین به عنوان دافع اسکورپیوس شناخته می شود) با استفاده از نسخه به روز شده رمزگذار خود مشاهده شده اند. این نسخه جدید شامل یک آرگومان خط فرمان، --no-note است که مانع از نوشتن یادداشت باج توسط رمزگذار به سیستم می شود.
علاوه بر این، رمزگذار به روز شده دیگر حاوی نام های کاربری یا رمزهای عبور سخت کد شده در باینری نیست. با این حال، همچنان میتواند PsExec را با استفاده از اعتبارنامههای موجود اجرا کند، تکنیکی که اخیرا توسط Morphisec به آن اشاره شده است. جالب است که محققان infosec شواهدی را کشف کردهاند که نشان میدهد این گروه ممکن است دادههایی از مصالحههای قدیمیتری داشته باشد که قبل از فعالیت با نام Cicada3301 رخ دادهاند.
این احتمال را افزایش می دهد که عامل تهدید قبلاً تحت یک مارک باج افزار متفاوت عمل کرده باشد یا داده هایی را از گروه های باج افزار دیگر به دست آورده باشد.
