ScRansom 랜섬웨어

CosmicBeetle이라는 위협 행위자는 ScRansom이라는 새로운 맞춤형 랜섬웨어 변종을 도입했는데, 이는 특히 유럽, 아시아, 아프리카, 남미 전역의 중소기업(SMB)을 대상으로 합니다. 또한 CosmicBeetle은 RansomHub 그룹의 제휴사로 활동한 것으로 의심됩니다.

이전에 Scarab Ransomware를 사용하던 CosmicBeetle은 현재 개발 중인 ScRansom으로 전환했습니다. 랜섬웨어 정교함의 최전선에 있지는 않지만, 이 그룹은 여전히 주목할 만한 대상을 손상시키는 데 성공했습니다.

CosminBeetle은 다양한 분야를 타겟으로 합니다.

ScRansom 공격은 제조, 제약, 법률, 교육, 의료, 기술, 호텔, 여가, 금융 서비스, 지방 정부를 포함한 광범위한 분야를 표적으로 삼았습니다.

NONAME으로도 알려진 CosmicBeetle은 전 세계 피해자에게 Scarab 랜섬웨어를 전달하는 데 사용된 위협적인 툴킷인 Spacecolon으로 가장 잘 알려져 있습니다. 이 그룹은 또한 유출된 LockBit 빌더를 실험하여 2023년 11월 초에 랜섬 노트와 유출 사이트에서 악명 높은 LockBit 랜섬웨어 그룹을 사칭하려고 시도한 것으로 알려져 있습니다.

공격자의 신원과 출신지는 여전히 불분명합니다. 지금은 가능성이 낮다고 여겨지는 이전 이론은 ScHackTool이라는 다른 도구에서 발견되는 사용자 지정 암호화 방식으로 인해 터키 출신일 수 있다고 제안했습니다.

사이버 범죄자들이 악용하는 여러 가지 취약점

공격 체인은 무차별 대입 공격과 여러 알려진 보안 취약점(CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475, CVE-2023-27532)을 악용하여 대상 환경에 침투하는 것으로 관찰되었습니다.

침입에는 Reaper, Darkside , RealBlindingEDR과 같은 다양한 도구를 사용하여 보안 프로세스를 종료하고 Delphi 기반 ScRansom 랜섬웨어를 배포하기 전에 감지되지 않도록 하는 것도 포함됩니다. ScRansom은 암호화 프로세스를 가속화하기 위한 부분 암호화를 특징으로 하며, 파일을 상수 값으로 덮어쓰는 'ERASE' 모드를 포함하여 복구할 수 없게 만듭니다.

RansomHub에 연결될 가능성이 있음

RansomHub에 대한 링크는 ScRansom과 RansomHub 페이로드가 일주일 이내에 동일한 머신에 배포된 것을 발견한 정보 보안 연구원의 관찰에서 비롯되었습니다. 처음부터 사용자 지정 랜섬웨어를 개발하는 과제에 직면한 CosmicBeetle은 LockBit의 평판을 활용하려고 시도한 것으로 보입니다. 이 전략은 랜섬웨어의 결함을 숨기고 피해자가 몸값을 지불할 가능성을 높이기 위한 것일 수 있습니다.

랜섬웨어 운영자들이 해로운 도구를 업데이트하다

2024년 7월부터 Cicada3301 랜섬웨어 (Repellent Scorpius라고도 함)와 관련된 위협 행위자들은 암호화기의 업데이트된 버전을 사용하는 것으로 관찰되었습니다. 이 새로운 버전에는 명령줄 인수 --no-note가 포함되어 있어 암호화기가 시스템에 랜섬 노트를 쓰지 못하게 합니다.

또한 업데이트된 암호화기는 더 이상 바이너리 내에 하드코딩된 사용자 이름이나 비밀번호를 포함하지 않습니다. 그러나 여전히 기존 자격 증명을 사용하여 PsExec을 실행할 수 있으며, 이는 Morphisec에서 최근 언급한 기술입니다. 흥미롭게도, 정보 보안 연구원들은 이 그룹이 Cicada3301이라는 이름으로 운영되기 전에 발생한 이전 침해의 데이터를 소유하고 있을 수 있다는 증거를 감지했습니다.

이로 인해 위협 행위자가 이전에 다른 랜섬웨어 브랜드로 활동했거나 다른 랜섬웨어 그룹으로부터 데이터를 획득했을 가능성이 높아집니다.