ScRansom Ransomware
Draudi, kas pazīstami kā CosmicBeetle, ir ieviesuši jaunu pielāgotu izpirkuma programmatūras variantu ar nosaukumu ScRansom, kas īpaši mērķēts uz maziem un vidējiem uzņēmumiem (MVU) visā Eiropā, Āzijā, Āfrikā un Dienvidamerikā. Turklāt tiek turēts aizdomās, ka CosmicBeetle darbojas kā RansomHub grupas filiāle.
Iepriekš izmantojot Scarab Ransomware , CosmicBeetle tagad ir pārgājis uz ScRansom, kas tiek izstrādāts. Lai gan grupa nav ransomware izsmalcinātības priekšgalā, grupai joprojām ir izdevies panākt ievērojamus mērķus.
Satura rādītājs
CosminBeetle mērķauditorija ir daudzveidīga nozaru kopa
ScRansom uzbrukumi ir vērsti pret plašu nozaru loku, tostarp ražošanu, farmāciju, juridisko, izglītības, veselības aprūpes, tehnoloģiju, viesmīlības, atpūtas, finanšu pakalpojumu un reģionālajām valdībām.
CosmicBeetle, kas pazīstams arī kā NONAME, ir visvairāk atpazīstams ar savu draudīgo rīku komplektu Spacecolon, kas iepriekš tika izmantots, lai piegādātu Scarab Ransomware upuriem visā pasaulē. Ir zināms, ka grupa eksperimentē ar nopludināto LockBit veidotāju, mēģinot uzdoties par bēdīgi slaveno LockBit Ransomware grupu izpirkuma piezīmēs un noplūdes vietnēs jau 2023. gada novembrī.
Uzbrucēju identitāte un izcelsme joprojām nav skaidra. Iepriekšējā teorija, kas tagad tiek uzskatīta par maz ticamu, ierosināja, ka tās varētu būt turku izcelsmes, jo pielāgota šifrēšanas metode ir atrodama citā rīkā ar nosaukumu ScHackTool.
Vairākas ievainojamības, ko izmanto kibernoziedznieki
Ir novērotas uzbrukuma ķēdes, kurās tiek izmantoti brutāla spēka uzbrukumi un vairākas zināmas drošības ievainojamības (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022, 2-42475). -27532), lai iekļūtu mērķa vidēs.
Ielaušanās ietver arī dažādu rīku, piemēram, Reaper, Darkside un RealBlindingEDR, izmantošanu, lai pārtrauktu drošības procesus un izvairītos no atklāšanas pirms Delphi bāzes ScRansom Ransomware izvietošanas. ScRansom piedāvā daļēju šifrēšanu, lai paātrinātu šifrēšanas procesu, un tajā ir iekļauts režīms DZĒŠANA, kas pārraksta failus ar nemainīgu vērtību, padarot tos neatgūstamus.
Iespējamais savienojums ar RansomHub
Saite uz RansomHub rodas no infosec pētnieku novērojumiem, kuri nedēļas laikā atrada ScRansom un RansomHub lietderīgās slodzes, kas izvietotas tajā pašā mašīnā. Šķiet, ka CosmicBeetle, saskaroties ar problēmām, kas saistītas ar pielāgotas izpirkuma programmatūras izstrādi, ir mēģinājis izmantot LockBit reputāciju. Šīs stratēģijas mērķis var būt, lai slēptu viņu izpirkuma programmatūras trūkumus un palielinātu iespējamību, ka upuri samaksās izpirkuma maksu.
Ransomware operatori atjaunina savus kaitīgos rīkus
Kopš 2024. gada jūlija draudu dalībnieki, kas saistīti ar Cicada3301 Ransomware (pazīstams arī kā Repellent Scorpius), ir novēroti, izmantojot atjauninātu sava šifrētāja versiju. Šajā jaunajā versijā ir iekļauts komandrindas arguments --no-note, kas neļauj šifrētājam rakstīt sistēmai izpirkuma piezīmi.
Turklāt atjauninātajā šifrētājā binārajā failā vairs nav iekodētu lietotājvārdu vai paroļu. Tomēr tas joprojām var izpildīt PsExec, izmantojot esošos akreditācijas datus, ko nesen atzīmēja Morphisec. Interesanti, ka infosec pētnieki ir atklājuši pierādījumus, kas liecina, ka grupai varētu būt dati no vecākiem kompromisiem, kas notikuši, pirms viņi darbojās ar nosaukumu Cicada3301.
Tas palielina iespēju, ka apdraudējuma dalībnieks iepriekš varētu būt darbojies ar citu izspiedējvīrusu zīmolu vai ieguvis datus no citām izspiedējvīrusu grupām.
