ScRansom Ransomware
Prijetnja poznata kao CosmicBeetle predstavila je novu prilagođenu varijantu ransomwarea pod nazivom ScRansom, posebno ciljajući na mala i srednja poduzeća (SMB) diljem Europe, Azije, Afrike i Južne Amerike. Osim toga, CosmicBeetle je osumnjičen da je djelovao kao podružnica grupe RansomHub .
Prethodno je koristio Scarab Ransomware , CosmicBeetle je sada prešao na ScRansom, koji je u tijeku razvoja. Iako nije na čelu sofisticiranosti ransomwarea, grupa je ipak uspjela kompromitirati mete vrijedne pažnje.
Sadržaj
CosminBeetle cilja na raznolik skup sektora
ScRansom napadi usmjereni su na širok raspon sektora, uključujući proizvodnju, farmaceutske proizvode, pravni sektor, obrazovanje, zdravstvenu skrb, tehnologiju, ugostiteljstvo, slobodno vrijeme, financijske usluge i regionalne vlade.
CosmicBeetle, također poznat kao NONAME, najpoznatiji je po svom prijetećem alatu, Spacecolon, koji se prethodno koristio za isporuku Scarab Ransomwarea žrtvama širom svijeta. Grupa je također poznata po eksperimentiranju s LockBit builderom koji je procurio, pokušavajući oponašati ozloglašenu grupu LockBit Ransomware u bilješkama o otkupnini i na mjestima curenja podataka već u studenom 2023.
Identitet i porijeklo napadača ostaju nejasni. Ranija teorija, koja se sada smatra malo vjerojatnom, sugerirala je da bi mogli biti turskog podrijetla zbog prilagođene metode šifriranja koja se nalazi u drugom alatu pod nazivom ScHackTool.
Višestruke ranjivosti koje iskorištavaju kibernetički kriminalci
Uočeni su lanci napada koji iskorištavaju napade brutalnom silom i nekoliko poznatih sigurnosnih propusta (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 i CVE-2023 -27532) za prodor u ciljna okruženja.
Upadi također uključuju korištenje različitih alata kao što su Reaper, Darkside i RealBlindingEDR za prekid sigurnosnih procesa i izbjegavanje otkrivanja prije postavljanja ScRansom Ransomwarea temeljenog na Delphiju. ScRansom ima djelomičnu enkripciju za ubrzavanje procesa enkripcije i uključuje 'ERASE' način rada koji prepisuje datoteke s konstantnom vrijednošću, čineći ih nepopravljivima.
Moguće povezivanje s RansomHubom
Veza s RansomHubom proizlazi iz opažanja istraživača infoseca koji su pronašli ScRansom i RansomHub korisni teret raspoređen na istom računalu unutar tjedan dana. Suočavajući se s izazovima razvoja prilagođenog ransomwarea od nule, CosmicBeetle je izgleda pokušao iskoristiti reputaciju LockBita. Ova strategija može biti namijenjena prikrivanju nedostataka u njihovom ransomwareu i povećanju vjerojatnosti da će žrtve platiti otkupninu.
Operateri ransomwarea ažuriraju svoje štetne alate
Od srpnja 2024. akteri prijetnji povezani s Cicada3301 Ransomwareom (poznatim i kao Repellent Scorpius) uočeni su kako koriste ažuriranu verziju svog kriptora. Ova nova verzija uključuje argument naredbenog retka, --no-note, koji sprječava kriptor da napiše poruku o otkupnini u sustav.
Osim toga, ažurirani kriptor više ne sadrži tvrdo kodirana korisnička imena ili lozinke unutar binarne datoteke. Međutim, još uvijek može izvršiti PsExec koristeći postojeće vjerodajnice, tehniku koju je nedavno primijetio Morphisec. Intrigantno je da su istraživači infoseca otkrili dokaze koji sugeriraju da grupa možda posjeduje podatke iz starijih kompromitacija koje su se dogodile prije nego što su djelovali pod imenom Cicada3301.
To povećava izglede da je akter prijetnje možda prethodno djelovao pod drugim brendom ransomwarea ili je preuzeo podatke od drugih grupa ransomwarea.
