„ScRansom Ransomware“.
Grėsmių veikėjas, žinomas kaip „CosmicBeetle“, pristatė naują pasirinktinį išpirkos reikalaujančios programos variantą „ScRansom“, skirtą mažoms ir vidutinėms įmonėms (MVĮ) visoje Europoje, Azijoje, Afrikoje ir Pietų Amerikoje. Be to, įtariama, kad „CosmicBeetle“ veikia kaip „RansomHub“ grupės filialas.
Anksčiau naudodama „Scarab Ransomware“ , „CosmicBeetle“ dabar perėjo prie „ScRansom“, kuri yra nuolat tobulinama. Nors ir nėra ransomware rafinuotumo priešakyje, grupei vis tiek pavyko pasiekti dėmesio vertų tikslų.
Turinys
„CosminBeetle“ orientuojasi į įvairius sektorius
„ScRansom“ atakos buvo nukreiptos į daugybę sektorių, įskaitant gamybą, farmaciją, teisės, švietimo, sveikatos priežiūros, technologijų, svetingumo, laisvalaikio, finansinių paslaugų ir regionų vyriausybes.
„CosmicBeetle“, taip pat žinomas kaip NONAME, labiausiai žinomas dėl savo grėsmingų įrankių rinkinio „Spacecolon“, kuris anksčiau buvo naudojamas „Scarab Ransomware“ aukoms visame pasaulyje pristatyti. Taip pat žinoma, kad grupė eksperimentavo su nutekintu „LockBit“ kūrėju, bandydama apsimesti liūdnai pagarsėjusia „LockBit Ransomware“ grupe išpirkos užrašuose ir informacijos nutekėjimo svetainėse jau 2023 m. lapkričio mėn.
Užpuolikų tapatybė ir kilmė lieka neaiški. Ankstesnė teorija, kuri dabar laikoma mažai tikėtina, teigė, kad jie gali būti turkiškos kilmės dėl pasirinktinio šifravimo metodo, rasto kitame įrankyje, vadinamame ScHackTool.
Keli pažeidžiamumai, kuriais pasinaudojo kibernetiniai nusikaltėliai
Pastebėta, kad atakų grandinėse išnaudojamos žiaurios jėgos atakos ir keletas žinomų saugumo spragų (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022, 2-42475). -27532), kad prasiskverbtų į tikslinę aplinką.
Įsibrovimai taip pat apima įvairių įrankių, tokių kaip Reaper, Darkside ir RealBlindingEDR, naudojimą, siekiant nutraukti saugos procesus ir išvengti aptikimo prieš diegiant Delphi pagrindu sukurtą ScRansom Ransomware. „ScRansom“ turi dalinį šifravimą, kad paspartintų šifravimo procesą, ir „ERASE“ režimą, kuris perrašo failus su pastovia verte, todėl jų negalima atkurti.
Galimas prisijungimas prie RansomHub
Nuoroda į „RansomHub“ atsiranda iš „Infosec“ tyrėjų stebėjimų, kurie per savaitę nustatė „ScRansom“ ir „RansomHub“ naudingus krovinius, įdiegtus tame pačiame įrenginyje. Atrodo, kad „CosmicBeetle“, susidūrusi su iššūkiais, susijusiais su individualizuotos išpirkos reikalaujančios programinės įrangos kūrimu nuo nulio, bandė pasinaudoti „LockBit“ reputacija. Ši strategija gali būti skirta paslėpti jų išpirkos reikalaujančios programinės įrangos trūkumus ir padidinti tikimybę, kad aukos sumokės išpirką.
Ransomware operatoriai atnaujina savo žalingus įrankius
Nuo 2024 m. liepos mėn. su Cicada3301 Ransomware (taip pat žinomas kaip Repellent Scorpius) susiję grėsmės veikėjai buvo stebimi naudojant atnaujintą šifruotojo versiją. Šioje naujoje versijoje yra komandinės eilutės argumentas --no-note, kuris neleidžia šifruotojui parašyti išpirkos užrašo į sistemą.
Be to, atnaujintame šifruotoje dvejetainėje nebėra sunkiai užkoduotų vartotojo vardų ar slaptažodžių. Tačiau jis vis tiek gali vykdyti „PsExec“ naudodamas esamus kredencialus – šią techniką neseniai pastebėjo „Morphisec“. Įdomu tai, kad infosec tyrėjai aptiko įrodymų, leidžiančių manyti, kad grupė gali turėti duomenų iš senesnių kompromisų, įvykusių prieš jiems veikiant pavadinimu Cicada3301.
Tai padidina tikimybę, kad grėsmės veikėjas anksčiau veikė naudodamas kitą išpirkos reikalaujančių programų prekės ženklą arba gavo duomenų iš kitų išpirkos reikalaujančių programų grupių.
