ScRansom Ransomware
Pelakon ancaman yang dikenali sebagai CosmicBeetle telah memperkenalkan varian perisian tebusan tersuai baharu yang dipanggil ScRansom, yang menyasarkan perniagaan kecil dan sederhana (PKS) di seluruh Eropah, Asia, Afrika dan Amerika Selatan. Selain itu, CosmicBeetle disyaki bertindak sebagai ahli gabungan untuk kumpulan RansomHub .
Sebelum ini menggunakan Scarab Ransomware , CosmicBeetle kini telah beralih kepada ScRansom, yang sedang dalam pembangunan. Walaupun tidak berada di barisan hadapan dalam kecanggihan perisian tebusan, kumpulan itu masih berjaya menjejaskan sasaran yang patut diberi perhatian.
Isi kandungan
CosminBeetle Mensasarkan Set Pelbagai Sektor
Serangan Scransom telah menyasarkan pelbagai sektor, termasuk pembuatan, farmaseutikal, undang-undang, pendidikan, penjagaan kesihatan, teknologi, hospitaliti, masa lapang, perkhidmatan kewangan dan kerajaan serantau.
CosmicBeetle, juga dikenali sebagai NONAME, paling dikenali kerana kit alatnya yang mengancam, Spacecolon, yang sebelum ini digunakan untuk menghantar Scarab Ransomware kepada mangsa di seluruh dunia. Kumpulan itu juga diketahui bereksperimen dengan pembina LockBit yang bocor, cuba menyamar sebagai kumpulan LockBit Ransomware yang terkenal dalam nota tebusan dan di tapak bocor seawal November 2023.
Identiti dan asal usul penyerang masih tidak jelas. Teori terdahulu, kini dianggap tidak mungkin, mencadangkan ia mungkin berasal dari Turki kerana kaedah penyulitan tersuai yang ditemui dalam alat lain yang dipanggil ScHackTool.
Pelbagai Kerentanan Dieksploitasi oleh Penjenayah Siber
Rantaian serangan telah diperhatikan mengeksploitasi serangan kekerasan dan beberapa kelemahan keselamatan yang diketahui (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42472, dan CVE-2022-42475 -27532) untuk menembusi persekitaran sasaran.
Pencerobohan juga melibatkan penggunaan pelbagai alat seperti Reaper, Darkside dan RealBlindingEDR untuk menamatkan proses keselamatan dan mengelakkan pengesanan sebelum menggunakan perisian Ransom Scransom berasaskan Delphi. ScRansom menampilkan penyulitan separa untuk mempercepatkan proses penyulitan dan termasuk mod 'PADAM' yang menimpa fail dengan nilai tetap, menjadikannya tidak dapat dipulihkan.
Kemungkinan Sambungan ke RansomHub
Pautan ke RansomHub timbul daripada pemerhatian oleh penyelidik infosec yang mendapati muatan ScRansom dan RansomHub digunakan pada mesin yang sama dalam masa seminggu. Menghadapi cabaran membangunkan perisian tebusan tersuai dari awal, CosmicBeetle nampaknya telah cuba memanfaatkan reputasi LockBit. Strategi ini mungkin bertujuan untuk mengaburkan kelemahan dalam perisian tebusan mereka dan meningkatkan kemungkinan mangsa akan membayar tebusan.
Pengendali Ransomware Mengemas kini Alat Mencederakan Mereka
Sejak Julai 2024, pelaku ancaman yang dikaitkan dengan Ransomware Cicada3301 (juga dikenali sebagai Repellent Scorpius) telah diperhatikan menggunakan versi penyulitan mereka yang dikemas kini. Versi baharu ini termasuk hujah baris arahan, --no-note, yang menghalang penyulit daripada menulis nota tebusan kepada sistem.
Selain itu, penyulitan yang dikemas kini tidak lagi mengandungi nama pengguna atau kata laluan berkod keras dalam binari. Walau bagaimanapun, ia masih boleh melaksanakan PsExec menggunakan kelayakan sedia ada, teknik baru-baru ini diperhatikan oleh Morphisec. Menariknya, penyelidik infosec telah mengesan bukti yang menunjukkan bahawa kumpulan itu mungkin memiliki data daripada kompromi lama yang berlaku sebelum mereka beroperasi di bawah nama Cicada3301.
Ini meningkatkan peluang bahawa pelaku ancaman mungkin pernah beroperasi di bawah jenama perisian tebusan yang berbeza atau memperoleh data daripada kumpulan perisian tebusan lain.
