ScRansom-ransomware
De dreigingsactor die bekendstaat als CosmicBeetle heeft een nieuwe aangepaste ransomwarevariant genaamd ScRansom geïntroduceerd, die specifiek gericht is op kleine en middelgrote bedrijven (MKB's) in Europa, Azië, Afrika en Zuid-Amerika. Daarnaast wordt CosmicBeetle ervan verdacht als affiliate voor de RansomHub- groep te fungeren.
CosmicBeetle gebruikte voorheen Scarab Ransomware , maar is nu overgestapt op ScRansom, dat nog in ontwikkeling is. Hoewel de groep niet vooroploopt in de verfijning van ransomware, is het toch gelukt om opmerkelijke doelen te compromitteren.
Inhoudsopgave
CosminBeetle richt zich op een diverse groep sectoren
ScRansom-aanvallen waren gericht op een breed scala aan sectoren, waaronder de productie, farmacie, justitie, onderwijs, gezondheidszorg, technologie, horeca, vrijetijdsbesteding, financiële dienstverlening en regionale overheden.
CosmicBeetle, ook bekend als NONAME, is het meest bekend om zijn bedreigende toolkit, Spacecolon, die eerder werd gebruikt om de Scarab Ransomware aan slachtoffers over de hele wereld te leveren. De groep staat er ook om bekend dat ze experimenteerden met de gelekte LockBit-bouwer, waarbij ze probeerden de beruchte LockBit Ransomware- groep te imiteren in losgeldnotities en op leksites, al in november 2023.
De identiteit en herkomst van de aanvallers blijven onduidelijk. Een eerdere theorie, die nu als onwaarschijnlijk wordt beschouwd, suggereerde dat ze van Turkse afkomst zouden kunnen zijn vanwege een aangepaste encryptiemethode die in een andere tool genaamd ScHackTool werd gevonden.
Meerdere kwetsbaarheden uitgebuit door cybercriminelen
Er zijn aanvalsketens waargenomen waarbij brute-force-aanvallen en verschillende bekende beveiligingskwetsbaarheden (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 en CVE-2023-27532) worden misbruikt om doelomgevingen binnen te dringen.
De inbraken omvatten ook het gebruik van verschillende tools zoals Reaper, Darkside en RealBlindingEDR om beveiligingsprocessen te beëindigen en detectie te voorkomen voordat de Delphi-gebaseerde ScRansom Ransomware wordt geïmplementeerd. ScRansom beschikt over gedeeltelijke encryptie om het encryptieproces te versnellen en bevat een 'ERASE'-modus die bestanden overschrijft met een constante waarde, waardoor ze onherstelbaar worden.
Mogelijke verbinding met RansomHub
De link naar RansomHub komt voort uit observaties van infosec-onderzoekers die ontdekten dat ScRansom en RansomHub payloads binnen een week op dezelfde machine werden geïmplementeerd. CosmicBeetle lijkt te hebben geprobeerd om de reputatie van LockBit te misbruiken, omdat het de uitdaging was om aangepaste ransomware helemaal opnieuw te ontwikkelen. Deze strategie is mogelijk bedoeld om fouten in hun ransomware te verdoezelen en de kans te vergroten dat slachtoffers het losgeld betalen.
Ransomware-exploitanten updaten hun schadelijke tools
Sinds juli 2024 zijn dreigingsactoren die geassocieerd worden met de Cicada3301 Ransomware (ook bekend als Repellent Scorpius) waargenomen met behulp van een bijgewerkte versie van hun encryptor. Deze nieuwe versie bevat een opdrachtregelargument, --no-note, dat voorkomt dat de encryptor een losgeldnotitie naar het systeem schrijft.
Bovendien bevat de bijgewerkte encryptor geen hard-coded gebruikersnamen of wachtwoorden meer in het binaire bestand. Het kan echter nog steeds PsExec uitvoeren met behulp van bestaande inloggegevens, een techniek die onlangs door Morphisec is opgemerkt. Interessant genoeg hebben infosec-onderzoekers bewijs gevonden dat suggereert dat de groep mogelijk gegevens bezit van oudere inbreuken die plaatsvonden voordat ze onder de naam Cicada3301 opereerden.
Hierdoor is de kans groter dat de aanvaller eerder onder een ander ransomwaremerk heeft geopereerd of gegevens van andere ransomwaregroepen heeft verkregen.
