ScRansom Ransomware

តួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា CosmicBeetle បានបង្ហាញកំណែទម្រង់ ransomware ផ្ទាល់ខ្លួនថ្មីមួយដែលហៅថា ScRansom ជាពិសេសផ្តោតលើអាជីវកម្មខ្នាតតូច និងមធ្យម (SMBs) នៅទូទាំងទ្វីបអឺរ៉ុប អាស៊ី អាហ្វ្រិក និងអាមេរិកខាងត្បូង។ លើសពីនេះទៀត CosmicBeetle ត្រូវបានគេសង្ស័យថាដើរតួជាសាខាសម្រាប់ក្រុម RansomHub ។

កាលពីមុនដោយប្រើ Scarab Ransomware ឥឡូវនេះ CosmicBeetle បានប្តូរទៅ ScRansom ដែលស្ថិតក្រោមការអភិវឌ្ឍន៍ជាបន្ត។ ទោះបីជាមិនស្ថិតនៅជួរមុខនៃភាពទំនើបនៃ ransomware ក៏ដោយ ក៏ក្រុមនៅតែអាចសម្រុះសម្រួលគោលដៅដែលគួរអោយកត់សម្គាល់។

CosminBeetle កំណត់គោលដៅចម្រុះនៃវិស័យ

ការវាយប្រហាររបស់ ScRansom បានកំណត់គោលដៅលើវិស័យជាច្រើន រួមទាំងការផលិត ឱសថ ច្បាប់ ការអប់រំ ការថែទាំសុខភាព បច្ចេកវិទ្យា បដិសណ្ឋារកិច្ច ការលំហែ សេវាហិរញ្ញវត្ថុ និងរដ្ឋាភិបាលក្នុងតំបន់។

CosmicBeetle ដែលត្រូវបានគេស្គាល់ថាជា NONAME ត្រូវបានគេទទួលស្គាល់ច្រើនបំផុតសម្រាប់កញ្ចប់ឧបករណ៍គំរាមកំហែងរបស់វា Spacecolon ដែលពីមុនត្រូវបានប្រើដើម្បីចែកចាយ Scarab Ransomware ដល់ជនរងគ្រោះទូទាំងពិភពលោក។ ក្រុមនេះក៏ត្រូវបានគេដឹងថាកំពុងធ្វើការពិសោធន៍ជាមួយអ្នកបង្កើត LockBit ដែលលេចធ្លាយដោយព្យាយាមក្លែងបន្លំក្រុម LockBit Ransomware ដ៏ល្បីល្បាញនៅក្នុងកំណត់ត្រាតម្លៃលោះ និងនៅលើគេហទំព័រលេចធ្លាយនៅដើមខែវិច្ឆិកា ឆ្នាំ 2023។

អត្តសញ្ញាណ និងប្រភពដើមនៃអ្នកវាយប្រហារនៅមិនទាន់ច្បាស់នៅឡើយ។ ទ្រឹស្ដីមុនមួយ ដែលឥឡូវនេះចាត់ទុកថាមិនទំនងនោះ បានស្នើថា ពួកវាអាចមានដើមកំណើតទួរគី ដោយសារតែវិធីសាស្ត្របំប្លែងកូដផ្ទាល់ខ្លួនដែលរកឃើញនៅក្នុងឧបករណ៍មួយទៀតហៅថា ScHackTool។

ភាពងាយរងគ្រោះជាច្រើនត្រូវបានកេងប្រវ័ញ្ចដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត

ខ្សែសង្វាក់វាយប្រហារត្រូវបានគេសង្កេតឃើញប្រើប្រាស់ការវាយប្រហារដោយកម្លាំង brute-force និងភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពជាច្រើន (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475, និង CVE-2022-42475, និង -២៧៥៣២) ដើម្បីជ្រាបចូលទៅក្នុងបរិយាកាសគោលដៅ។

ការឈ្លានពានក៏ពាក់ព័ន្ធនឹងការប្រើប្រាស់ឧបករណ៍ផ្សេងៗដូចជា Reaper, Darkside និង RealBlindingEDR ដើម្បីបញ្ចប់ដំណើរការសុវត្ថិភាព និងជៀសវាងការរកឃើញ មុនពេលដាក់ពង្រាយ ScRansom Ransomware ដែលមានមូលដ្ឋានលើ Delphi ។ ScRansom មានលក្ខណៈពិសេសការអ៊ិនគ្រីបដោយផ្នែក ដើម្បីបង្កើនល្បឿនដំណើរការអ៊ិនគ្រីប និងរួមបញ្ចូលរបៀប 'ERASE' ដែលសរសេរជាន់លើឯកសារជាមួយនឹងតម្លៃថេរដែលធ្វើឱ្យពួកវាមិនអាចយកមកវិញបាន។

ការតភ្ជាប់ដែលអាចធ្វើបានទៅ RansomHub

តំណភ្ជាប់ទៅ RansomHub កើតឡើងពីការសង្កេតដោយអ្នកស្រាវជ្រាវ infosec ដែលបានរកឃើញ ScRansom និង RansomHub payloads ដែលដាក់ពង្រាយនៅលើម៉ាស៊ីនតែមួយក្នុងរយៈពេលមួយសប្តាហ៍។ ប្រឈមមុខនឹងបញ្ហាប្រឈមនៃការបង្កើត ransomware ផ្ទាល់ខ្លួនតាំងពីដំបូង CosmicBeetle ហាក់ដូចជាបានព្យាយាមបង្កើនកេរ្តិ៍ឈ្មោះរបស់ LockBit ។ យុទ្ធសាស្រ្តនេះអាចមានបំណងបិទបាំងកំហុសនៅក្នុង ransomware របស់ពួកគេ និងធ្វើអោយប្រសើរឡើងនូវលទ្ធភាពដែលជនរងគ្រោះនឹងបង់ថ្លៃលោះ។

ប្រតិបត្តិករ Ransomware ធ្វើបច្ចុប្បន្នភាពឧបករណ៍ដែលបង្កគ្រោះថ្នាក់របស់ពួកគេ។

ចាប់តាំងពីខែកក្កដា ឆ្នាំ 2024 តួអង្គគំរាមកំហែងដែលទាក់ទងនឹង Cicada3301 Ransomware (ត្រូវបានគេស្គាល់ផងដែរថាជា Repellent Scorpius) ត្រូវបានគេសង្កេតឃើញដោយប្រើកំណែអាប់ដេតនៃឧបករណ៍បំលែងកូដរបស់ពួកគេ។ កំណែថ្មីនេះរួមបញ្ចូលទាំងអាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជា --no-note ដែលរារាំងអ្នកអ៊ិនគ្រីបពីការសរសេរកំណត់ចំណាំតម្លៃលោះទៅប្រព័ន្ធ។

លើសពីនេះ កម្មវិធីអ៊ិនគ្រីបដែលបានអាប់ដេតលែងមានឈ្មោះអ្នកប្រើប្រាស់ ឬពាក្យសម្ងាត់ដែលមានកូដរឹងនៅក្នុងប្រព័ន្ធគោលពីរទៀតហើយ។ ទោះជាយ៉ាងណាក៏ដោយ វានៅតែអាចប្រតិបត្តិ PsExec ដោយប្រើព័ត៌មានបញ្ជាក់អត្តសញ្ញាណដែលមានស្រាប់ ដែលជាបច្ចេកទេសដែលត្រូវបានកត់សម្គាល់ដោយ Morphisec នាពេលថ្មីៗនេះ។ គួរឱ្យចាប់អារម្មណ៍ អ្នកស្រាវជ្រាវ infosec បានរកឃើញភស្តុតាងដែលបង្ហាញថាក្រុមនេះអាចមានទិន្នន័យពីការសម្របសម្រួលចាស់ៗដែលបានកើតឡើងមុនពេលពួកគេដំណើរការក្រោមឈ្មោះ Cicada3301 ។

នេះបង្កើនឱកាសដែលតួអង្គគំរាមកំហែងអាចដំណើរការពីមុននៅក្រោមម៉ាក ransomware ផ្សេងគ្នា ឬទទួលបានទិន្នន័យពីក្រុម ransomware ផ្សេងទៀត។