ScRansom Ransomware
L'attore della minaccia noto come CosmicBeetle ha introdotto una nuova variante di ransomware personalizzata chiamata ScRansom, che prende di mira specificamente le piccole e medie imprese (PMI) in Europa, Asia, Africa e Sud America. Inoltre, CosmicBeetle è sospettato di agire come affiliato del gruppo RansomHub .
In precedenza, utilizzando il ransomware Scarab , CosmicBeetle è ora passato a ScRansom, che è in fase di sviluppo. Sebbene non sia all'avanguardia nella sofisticazione dei ransomware, il gruppo è comunque riuscito a compromettere obiettivi degni di nota.
Sommario
CosminBeetle punta a un insieme diversificato di settori
Gli attacchi ScRansom hanno preso di mira un'ampia gamma di settori, tra cui quello manifatturiero, farmaceutico, legale, dell'istruzione, sanitario, tecnologico, alberghiero, del tempo libero, dei servizi finanziari e delle amministrazioni regionali.
CosmicBeetle, noto anche come NONAME, è maggiormente riconosciuto per il suo minaccioso toolkit, Spacecolon, che in precedenza era stato utilizzato per distribuire lo Scarab Ransomware alle vittime in tutto il mondo. Il gruppo è anche noto per aver sperimentato il costruttore LockBit trapelato, tentando di impersonare il famigerato gruppo LockBit Ransomware nelle note di riscatto e sui siti di fuga di notizie già a partire da novembre 2023.
L'identità e l'origine degli aggressori restano poco chiare. Una precedente teoria, ora considerata improbabile, suggeriva che potessero essere di origine turca a causa di un metodo di crittografia personalizzato trovato in un altro strumento chiamato ScHackTool.
Molteplici vulnerabilità sfruttate dai criminali informatici
Sono state osservate catene di attacco che sfruttano attacchi brute-force e diverse vulnerabilità di sicurezza note (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 e CVE-2023-27532) per penetrare negli ambienti target.
Le intrusioni comportano anche l'utilizzo di vari strumenti come Reaper, Darkside e RealBlindingEDR per terminare i processi di sicurezza ed evitare il rilevamento prima di distribuire il ransomware ScRansom basato su Delphi. ScRansom presenta una crittografia parziale per accelerare il processo di crittografia e include una modalità "ERASE" che sovrascrive i file con un valore costante, rendendoli irrecuperabili.
Possibile collegamento a RansomHub
Il collegamento a RansomHub nasce dalle osservazioni dei ricercatori di infosec che hanno scoperto che i payload di ScRansom e RansomHub sono stati distribuiti sulla stessa macchina nel giro di una settimana. Affrontando le sfide dello sviluppo di ransomware personalizzati da zero, CosmicBeetle sembra aver tentato di sfruttare la reputazione di LockBit. Questa strategia potrebbe essere intesa a nascondere i difetti del loro ransomware e aumentare la probabilità che le vittime paghino il riscatto.
Gli operatori di ransomware aggiornano i loro strumenti dannosi
Da luglio 2024, gli attori delle minacce associati al ransomware Cicada3301 (noto anche come Repellent Scorpius) sono stati osservati mentre utilizzavano una versione aggiornata del loro crittografo. Questa nuova versione include un argomento della riga di comando, --no-note, che impedisce al crittografo di scrivere una nota di riscatto al sistema.
Inoltre, l'encryptor aggiornato non contiene più nomi utente o password hard-coded all'interno del binario. Tuttavia, può ancora eseguire PsExec utilizzando credenziali esistenti, una tecnica recentemente notata da Morphisec. Curiosamente, i ricercatori di infosec hanno rilevato prove che suggeriscono che il gruppo potrebbe possedere dati da compromessi più vecchi che si sono verificati prima che operassero sotto il nome Cicada3301.
Ciò aumenta le probabilità che l'autore della minaccia abbia operato in precedenza con un diverso marchio di ransomware o abbia acquisito dati da altri gruppi di ransomware.
