ScRansom Ransomware
Aktor zagrożeń znany jako CosmicBeetle wprowadził nową niestandardową odmianę ransomware o nazwie ScRansom, która jest ukierunkowana na małe i średnie przedsiębiorstwa (SMB) w Europie, Azji, Afryce i Ameryce Południowej. Ponadto podejrzewa się, że CosmicBeetle działa jako podmiot stowarzyszony grupy RansomHub .
Wcześniej używając Scarab Ransomware , CosmicBeetle przeszedł teraz na ScRansom, który jest w trakcie rozwoju. Chociaż nie jest na czele wyrafinowania ransomware, grupie udało się naruszyć godne uwagi cele.
Spis treści
CosminBeetle ma na celu zróżnicowany zestaw sektorów
Ataki ScRansom wymierzone były w wiele sektorów, w tym produkcję, farmaceutykę, prawo, edukację, opiekę zdrowotną, technologię, hotelarstwo, rozrywkę, usługi finansowe i władze regionalne.
CosmicBeetle, znany również jako NONAME, jest najbardziej znany ze swojego groźnego zestawu narzędzi, Spacecolon, który był wcześniej używany do dostarczania Scarab Ransomware ofiarom na całym świecie. Grupa była również znana z eksperymentowania z wyciekłym programem LockBit builder, próbując podszywać się pod niesławną grupę LockBit Ransomware w notatkach o okupie i na stronach z wyciekami już w listopadzie 2023 r.
Tożsamość i pochodzenie atakujących pozostają niejasne. Wcześniejsza teoria, obecnie uważana za mało prawdopodobną, sugerowała, że mogą być pochodzenia tureckiego ze względu na niestandardową metodę szyfrowania znalezioną w innym narzędziu o nazwie ScHackTool.
Cyberprzestępcy wykorzystują wiele luk
Zaobserwowano, że łańcuchy ataków wykorzystują ataki siłowe i kilka znanych luk w zabezpieczeniach (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 i CVE-2023-27532) w celu penetracji środowisk docelowych.
Włamania obejmują również wykorzystanie różnych narzędzi, takich jak Reaper, Darkside i RealBlindingEDR, aby zakończyć procesy bezpieczeństwa i uniknąć wykrycia przed wdrożeniem oprogramowania ScRansom Ransomware opartego na Delphi. ScRansom oferuje częściowe szyfrowanie w celu przyspieszenia procesu szyfrowania i obejmuje tryb „ERASE”, który nadpisuje pliki stałą wartością, czyniąc je nieodwracalnymi.
Możliwe połączenie z RansomHub
Link do RansomHub wynika z obserwacji badaczy infosec, którzy znaleźli ładunki ScRansom i RansomHub wdrożone na tej samej maszynie w ciągu tygodnia. Stawiając czoła wyzwaniom związanym z tworzeniem niestandardowego oprogramowania ransomware od podstaw, CosmicBeetle najwyraźniej próbował wykorzystać reputację LockBit. Ta strategia może mieć na celu ukrycie wad w ich oprogramowaniu ransomware i zwiększenie prawdopodobieństwa, że ofiary zapłacą okup.
Operatorzy ransomware aktualizują swoje szkodliwe narzędzia
Od lipca 2024 r. obserwowano, że aktorzy zagrożeń powiązani z ransomware Cicada3301 (znanym również jako Repellent Scorpius) używają zaktualizowanej wersji swojego programu szyfrującego. Ta nowa wersja zawiera argument wiersza poleceń --no-note, który uniemożliwia programowi szyfrującemu zapisanie w systemie żądania okupu.
Ponadto zaktualizowany encryptor nie zawiera już zakodowanych na stałe nazw użytkowników ani haseł w pliku binarnym. Nadal może jednak wykonywać PsExec przy użyciu istniejących poświadczeń, co jest techniką niedawno zauważoną przez Morphisec. Co intrygujące, badacze infosec wykryli dowody sugerujące, że grupa może posiadać dane ze starszych naruszeń, które miały miejsce, zanim działali pod nazwą Cicada3301.
Zwiększa to prawdopodobieństwo, że sprawca zagrożenia mógł wcześniej działać pod inną marką oprogramowania ransomware lub pozyskać dane od innych grup zajmujących się oprogramowaniem ransomware.
