ScRansom Ransomware
A CosmicBeetle néven ismert fenyegetettség szereplője egy új egyedi ransomware-változatot mutatott be ScRansom néven, amely kifejezetten a kis- és középvállalkozásokat célozza meg Európában, Ázsiában, Afrikában és Dél-Amerikában. Ezenkívül a CosmicBeetle-t azzal gyanúsítják, hogy a RansomHub csoport leányvállalataként működik.
A korábban a Scarab Ransomware-t használó CosmicBeetle most átállt a ScRansomra, amely fejlesztés alatt áll. Bár nem áll az élen a ransomware kifinomultságában, a csoportnak sikerült kompromisszumot kötnie figyelemre méltó célpontokon.
Tartalomjegyzék
A CosminBeetle sokféle ágazatot céloz meg
A ScRansom támadások számos ágazatot céloztak meg, beleértve a gyártást, gyógyszergyártást, jogi, oktatási, egészségügyi, technológiai, vendéglátási, szabadidős, pénzügyi szolgáltatásokat és regionális kormányokat.
A CosmicBeetle, más néven NONAME, leginkább a fenyegető eszközkészletéről, a Spacecolonról ismert, amelyet korábban a Scarab Ransomware áldozatokhoz való eljuttatására használtak világszerte. A csoport arról is ismert, hogy kísérletezett a kiszivárgott LockBit építővel, és már 2023 novemberében megpróbálta a hírhedt LockBit Ransomware csoportot kiadni váltságdíj-feljegyzésekben és kiszivárogtatott oldalakon.
A támadók kiléte és származása továbbra sem tisztázott. Egy korábbi, ma valószínűtlennek tartott elmélet azt sugallta, hogy török származásúak lehetnek egy másik, ScHackTool nevű eszközben található egyéni titkosítási módszer miatt.
A kiberbűnözők által kihasznált több sebezhetőség
Megfigyeltek olyan támadási láncokat, amelyek brute force támadásokat és számos ismert biztonsági rést (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022, 2-42475) használnak ki. -27532), hogy behatoljanak a célkörnyezetekbe.
A behatolások során különféle eszközöket is használnak, mint például a Reaper, a Darkside és a RealBlindingEDR a biztonsági folyamatok leállítására és az észlelés elkerülésére a Delphi-alapú ScRansom Ransomware telepítése előtt. A ScRansom részleges titkosítást kínál a titkosítási folyamat felgyorsítása érdekében, és tartalmaz egy „ERASE” módot, amely állandó értékű fájlokat ír felül, így azok visszaállíthatatlanok.
Lehetséges csatlakozás a RansomHubhoz
A RansomHubhoz való hivatkozás az infosec kutatóinak megfigyeléseiből származik, akik egy héten belül ScRansom és RansomHub hasznos terheket találtak ugyanazon a gépen. Úgy tűnik, hogy a CosmicBeetle megpróbálta kihasználni a LockBit hírnevét, mivel az egyedi zsarolóprogramok fejlesztésének kihívásaival a semmiből kell szembenéznie. Ennek a stratégiának az a célja, hogy elfedje a zsarolóprogramjuk hibáit, és növelje annak valószínűségét, hogy az áldozatok kifizessék a váltságdíjat.
A zsarolóvírus-kezelők frissítik bántó eszközeiket
2024 júliusa óta a Cicada3301 Ransomware (más néven Repellent Scorpius) fenyegető szereplőit figyelték meg a titkosítójuk frissített verziójának használatával. Ez az új verzió tartalmaz egy parancssori argumentumot, a --no-note, amely megakadályozza, hogy a titkosító váltságdíjat írjon a rendszernek.
Ezenkívül a frissített titkosító már nem tartalmaz kemény kódolt felhasználóneveket vagy jelszavakat a binárison belül. Mindazonáltal továbbra is képes végrehajtani a PsExec-et a meglévő hitelesítő adatokkal, a Morphisec által nemrégiben feljegyzett technikát. Érdekes módon az infosec-kutatók olyan bizonyítékokat fedeztek fel, amelyek arra utalnak, hogy a csoport olyan régebbi kompromisszumokból származó adatokkal rendelkezhet, amelyek azelőtt történtek, hogy Cicada3301 néven működtek volna.
Ez növeli annak az esélyét, hogy a fenyegetettség szereplője korábban más ransomware márkanév alatt működött, vagy más ransomware csoportoktól szerzett adatokat.
