ScRansom Ransomware

שחקן האיום הידוע בשם CosmicBeetle הציג גרסה חדשה של תוכנת כופר מותאמת אישית בשם ScRansom, המכוונת במיוחד לעסקים קטנים ובינוניים (SMBs) ברחבי אירופה, אסיה, אפריקה ודרום אמריקה. בנוסף, CosmicBeetle חשוד כי פעל כשלוחה של קבוצת RansomHub .

בעבר השתמשה ב- Scarab Ransomware , CosmicBeetle עברה כעת ל-ScRansom, שנמצאת בפיתוח מתמשך. למרות שאינה בחזית התחכום של תוכנות הכופר, הקבוצה עדיין הצליחה להתפשר על יעדים ראויים לציון.

CosminBeetle מכוונת לקבוצה מגוונת של מגזרים

התקפות ScRansom כוונו למגוון רחב של מגזרים, כולל ייצור, תרופות, משפטים, חינוך, שירותי בריאות, טכנולוגיה, אירוח, פנאי, שירותים פיננסיים וממשלות אזוריות.

CosmicBeetle, הידועה גם בשם NONAME, מוכרת בעיקר בזכות ערכת הכלים המאיימת שלה, Spacecolon, ששימשה בעבר להעברת תוכנת הכופר של Scarab לקורבנות ברחבי העולם. הקבוצה ידועה גם בניסוי עם בונה LockBit שהודלף, תוך ניסיון להתחזות לקבוצת LockBit Ransomware הידועה לשמצה בפתקי כופר ובאתרי דליפות כבר בנובמבר 2023.

זהותם ומוצאם של התוקפים עדיין לא ברורים. תיאוריה קודמת, שנחשבה כעת לא סבירה, הציעה שהם עשויים להיות ממוצא טורקי עקב שיטת הצפנה מותאמת אישית שנמצאה בכלי אחר בשם ScHackTool.

פגיעויות מרובות מנוצלות על ידי פושעי סייבר

שרשראות תקיפה נצפו מנצלות התקפות בכוח גס ומספר פרצות אבטחה ידועות (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 ו-CVE-3 -27532) כדי לחדור לסביבות יעד.

הפריצות כוללות גם שימוש בכלים שונים כגון Reaper, Darkside ו-RealBlindingEDR כדי להפסיק תהליכי אבטחה ולהימנע מגילוי לפני פריסת תוכנת ScRansom Ransomware מבוססת Delphi. ScRansom כולל הצפנה חלקית כדי להאיץ את תהליך ההצפנה וכולל מצב 'ERASE' שמחליף קבצים עם ערך קבוע, מה שהופך אותם לבלתי ניתנים לשחזור.

חיבור אפשרי ל-RansomHub

הקישור ל-RansomHub נובע מתצפיות של חוקרי infosec שמצאו מטענים של ScRansom ו-RansomHub פרוסים על אותה מכונה תוך שבוע. מול האתגרים של פיתוח תוכנות כופר מותאמות אישית מאפס, נראה ש-CosmicBeetle ניסתה למנף את המוניטין של LockBit. ייתכן שהאסטרטגיה הזו נועדה לטשטש פגמים בתוכנת הכופר שלהם ולשפר את הסבירות שהקורבנות ישלמו את הכופר.

מפעילי תוכנות כופר מעדכנים את הכלים הפוגעים שלהם

מאז יולי 2024, נצפו שחקני איומים הקשורים ל- Cicada3301 Ransomware (הידועה גם בשם Repellent Scorpius) תוך שימוש בגרסה מעודכנת של המוצפן שלהם. גרסה חדשה זו כוללת ארגומנט שורת פקודה, --no-note, המונע מהמצפין לכתוב פתק כופר למערכת.

בנוסף, המצפין המעודכן אינו מכיל עוד שמות משתמש או סיסמאות בקוד קשיח בתוך הקובץ הבינארי. עם זאת, הוא עדיין יכול להפעיל PsExec באמצעות אישורים קיימים, טכניקה שצוינה לאחרונה על ידי Morphisec. באופן מסקרן, חוקרי infosec גילו ראיות המצביעות על כך שהקבוצה עשויה להחזיק בנתונים מפשרות ישנות יותר שהתרחשו לפני שהיא פעלה תחת השם Cicada3301.

זה מעלה את הסיכוי ששחקן האיום פעל בעבר תחת מותג אחר של תוכנות כופר או רכש נתונים מקבוצות אחרות של תוכנות כופר.