ScRansom Ransomware
CosmicBeetle-niminen uhkatekijä on esitellyt uuden mukautetun kiristysohjelmaversion nimeltä ScRansom, joka on suunnattu erityisesti pienille ja keskisuurille yrityksille (SMB) Euroopassa, Aasiassa, Afrikassa ja Etelä-Amerikassa. Lisäksi CosmicBeetlen epäillään toimivan RansomHub- ryhmän tytäryhtiönä.
Aiemmin Scarab Ransomwarea käyttänyt CosmicBeetle on nyt siirtynyt ScRansomiin, jota kehitetään jatkuvasti. Vaikka ryhmä ei ole kiristyshaittaohjelmien kärjessä, se on silti onnistunut tinkimään huomionarvoisista kohteista.
Sisällysluettelo
CosminBeetle on suunnattu monille aloille
ScRansom-hyökkäykset ovat kohdistuneet useille aloille, mukaan lukien valmistus, lääketeollisuus, laki, koulutus, terveydenhuolto, teknologia, hotellipalvelut, vapaa-aika, rahoituspalvelut ja aluehallitukset.
CosmicBeetle, joka tunnetaan myös nimellä NONAME, tunnetaan parhaiten uhkaavasta työkalusarjastaan, Spacecolonista, jota käytettiin aiemmin Scarab Ransomwaren toimittamiseen uhreille maailmanlaajuisesti. Ryhmän tiedetään myös kokeilevan vuotanutta LockBit-rakentajaa yrittäen esiintyä pahamaineisena LockBit Ransomware -ryhmänä lunnaissa ja vuotosivustoilla jo marraskuussa 2023.
Hyökkääjien henkilöllisyys ja alkuperä ovat edelleen epäselviä. Aiempi teoria, jota pidetään nyt epätodennäköisenä, ehdotti, että ne voisivat olla turkkilaista alkuperää johtuen mukautetun salausmenetelmän toisesta työkalusta nimeltä ScHackTool.
Useita kyberrikollisten hyödyntämiä haavoittuvuuksia
Hyökkäysketjujen on havaittu hyödyntävän raakoja hyökkäyksiä ja useita tunnettuja tietoturva-aukkoja (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 ja CVE-2022-42475). -27532) tunkeutua kohdeympäristöihin.
Tunkeutumiseen liittyy myös erilaisten työkalujen, kuten Reaper, Darkside ja RealBlindingEDR, käyttäminen suojausprosessien lopettamiseksi ja havaitsemisen välttämiseksi ennen Delphi-pohjaisen ScRansom Ransomwaren käyttöönottoa. ScRansom sisältää osittaisen salauksen, joka nopeuttaa salausprosessia, ja sisältää ERASE-tilan, joka korvaa tiedostot vakioarvolla, jolloin niitä ei voida palauttaa.
Mahdollinen yhteys RansomHubiin
Linkki RansomHubiin perustuu infosec-tutkijoiden havaintoihin, jotka löysivät ScRansom- ja RansomHub-hyötykuormat asennettuna samalle koneelle viikon sisällä. CosmicBeetle näyttää yrittäneen hyödyntää LockBitin mainetta, koska se kohtaa räätälöityjen kiristysohjelmien kehittämisen haasteet tyhjästä. Tämän strategian tarkoituksena on ehkä peittää heidän lunnasohjelmissaan olevat puutteet ja parantaa todennäköisyyttä, että uhrit maksavat lunnaat.
Ransomware-operaattorit päivittävät vahingollisia työkalujaan
Heinäkuusta 2024 lähtien Cicada3301 Ransomware -ohjelmaan (tunnetaan myös nimellä Repellent Scorpius) liittyviä uhkatekijöitä on havaittu käyttämällä heidän salausohjelmansa päivitettyä versiota. Tämä uusi versio sisältää komentoriviargumentin --no-note, joka estää salaajaa kirjoittamasta lunnaita järjestelmään.
Lisäksi päivitetty salausohjelma ei enää sisällä kovakoodattuja käyttäjänimiä tai salasanoja binaarissa. Se voi kuitenkin silti suorittaa PsExecin olemassa olevilla valtuustiedoilla, Morphisecin äskettäin toteaman tekniikan. Mielenkiintoista on, että infosec-tutkijat ovat havainneet todisteita, jotka viittaavat siihen, että ryhmällä saattaa olla tietoja vanhemmista kompromisseista, jotka tapahtuivat ennen kuin he toimivat Cicada3301-nimellä.
Tämä lisää mahdollisuuksia, että uhkatekijä on aiemmin toiminut eri kiristysohjelmabrändillä tai hankkinut tietoja muilta kiristysohjelmaryhmiltä.
