ScRansom Ransomware
Trusselaktøren kjent som CosmicBeetle har introdusert en ny tilpasset løsepengevarevariant kalt ScRansom, spesifikt rettet mot små og mellomstore bedrifter (SMB) over hele Europa, Asia, Afrika og Sør-Amerika. I tillegg er CosmicBeetle mistenkt for å opptre som tilknyttet RansomHub- gruppen.
Tidligere brukte Scarab Ransomware , CosmicBeetle har nå gått over til ScRansom, som er under pågående utvikling. Selv om den ikke er i forkant med sofistikert løsepengevare, har gruppen likevel klart å kompromittere bemerkelsesverdige mål.
Innholdsfortegnelse
CosminBeetle retter seg mot et mangfoldig sett med sektorer
ScRansom-angrep har rettet seg mot et bredt spekter av sektorer, inkludert produksjon, farmasøytiske produkter, juss, utdanning, helsevesen, teknologi, gjestfrihet, fritid, finanstjenester og regionale myndigheter.
CosmicBeetle, også kjent som NONAME, er mest anerkjent for sitt truende verktøysett, Spacecolon, som tidligere ble brukt til å levere Scarab Ransomware til ofre over hele verden. Gruppen har også vært kjent for å eksperimentere med den lekkede LockBit-byggeren, og forsøkte å etterligne den beryktede LockBit Ransomware- gruppen i løsepenger og på lekkasjesider så tidlig som i november 2023.
Identiteten og opprinnelsen til angriperne er fortsatt uklart. En tidligere teori, nå ansett som usannsynlig, antydet at de kan være av tyrkisk opprinnelse på grunn av en tilpasset krypteringsmetode funnet i et annet verktøy kalt ScHackTool.
Flere sårbarheter utnyttet av nettkriminelle
Det er observert angrepskjeder som utnytter brute-force-angrep og flere kjente sikkerhetssårbarheter (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 og CVE-23 -27532) for å trenge inn i målmiljøer.
Innbruddene involverer også bruk av ulike verktøy som Reaper, Darkside og RealBlindingEDR for å avslutte sikkerhetsprosesser og unngå oppdagelse før distribusjon av den Delphi-baserte ScRansom Ransomware. ScRansom har delvis kryptering for å akselerere krypteringsprosessen og inkluderer en 'ERASE'-modus som overskriver filer med en konstant verdi, noe som gjør dem uopprettelige.
Mulig tilkobling til RansomHub
Koblingen til RansomHub oppstår fra observasjoner fra infosec-forskere som fant ScRansom og RansomHub nyttelaster utplassert på samme maskin innen en uke. Overfor utfordringene med å utvikle tilpasset løsepengevare fra bunnen av, ser det ut til at CosmicBeetle har forsøkt å utnytte LockBits rykte. Denne strategien kan ha til hensikt å skjule feil i løsepengene deres og øke sannsynligheten for at ofrene betaler løsepengene.
Ransomware-operatører oppdaterer sine skadelige verktøy
Siden juli 2024 har trusselaktører knyttet til Cicada3301 Ransomware (også kjent som Repellent Scorpius) blitt observert ved å bruke en oppdatert versjon av kryptering. Denne nye versjonen inkluderer et kommandolinjeargument, --no-note, som hindrer krypteringsenheten i å skrive en løsepengenota til systemet.
I tillegg inneholder den oppdaterte krypteringen ikke lenger hardkodede brukernavn eller passord i binæren. Imidlertid kan den fortsatt kjøre PsExec ved å bruke eksisterende legitimasjon, en teknikk som nylig ble bemerket av Morphisec. Interessant nok har infosec-forskere oppdaget bevis som tyder på at gruppen kan ha data fra eldre kompromisser som skjedde før de opererte under navnet Cicada3301.
Dette øker sjansene for at trusselaktøren tidligere kan ha operert under et annet løsepengevaremerke eller skaffet seg data fra andre løsepengevaregrupper.
