ScRansom Ransomware
O autor de ameaças conhecido como CosmicBeetle introduziu uma nova variante de ransomware personalizada chamada ScRansom, visando especificamente pequenas e médias empresas (PMEs) na Europa, Ásia, África e América do Sul. Além disso, o CosmicBeetle é suspeito de atuar como afiliado do grupo RansomHub.
Anteriormente usando o Scarab Ransomware, o CosmicBeetle agora fez a transição para o ScRansom, que está em desenvolvimento contínuo. Embora não esteja na vanguarda da sofisticação de ransomware, o grupo ainda conseguiu comprometer alvos notáveis.
Índice
O CosminBeetle Tem como Alvo um Conjunto Diversificado de Setores
Os ataques do ScRansom têm como alvo uma ampla gama de setores, incluindo manufatura, produtos farmacêuticos, jurídico, educação, saúde, tecnologia, hospitalidade, lazer, serviços financeiros e governos regionais.
CosmicBeetle, também conhecido como NONAME, é mais conhecido por seu kit de ferramentas ameaçador, Spacecolon, que foi usado anteriormente para entregar o Scarab Ransomware para vítimas em todo o mundo. O grupo também é conhecido por fazer experiências com o construtor LockBit vazado, tentando personificar o notório grupo LockBit Ransomware em notas de resgate e em sites de vazamento já em novembro de 2023.
A identidade e a origem dos atacantes permanecem obscuras. Uma teoria anterior, agora considerada improvável, sugeria que eles poderiam ser de origem turca devido a um método de criptografia personalizado encontrado em outra ferramenta chamada ScHackTool.
As Múltiplas Vulnerabilidades Exploradas pelos Criminosos Cibernéticos
Cadeias de ataque foram observadas explorando ataques de força bruta e diversas vulnerabilidades de segurança conhecidas (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 e CVE-2023-27532) para penetrar em ambientes alvo.
As intrusões também envolvem a utilização de várias ferramentas, como Reaper, Darkside e RealBlindingEDR, para encerrar processos de segurança e evitar a detecção antes de implantar o ScRansom Ransomware baseado em Delphi. O ScRansom apresenta criptografia parcial para acelerar o processo de criptografia e inclui um modo 'ERASE' que sobrescreve arquivos com um valor constante, tornando-os irrecuperáveis.
A Possível Conexão com o RansomHub
O link para o RansomHub surge de observações de pesquisadores de infosec que encontraram payloads do ScRansom e do RansomHub implantados na mesma máquina em uma semana. Enfrentando os desafios de desenvolver ransomware personalizado do zero, a CosmicBeetle parece ter tentado alavancar a reputação da LockBit. Essa estratégia pode ter a intenção de ocultar falhas em seu ransomware e melhorar a probabilidade de que as vítimas paguem o resgate.
Os Operadores de Ransomware Atualizam Suas Ferramentas Prejudiciais
Desde julho de 2024, agentes de ameaças associados ao Cicada3301 Ransomware (também conhecido como Repellent Scorpius) foram observados usando uma versão atualizada de seu criptografador. Esta nova versão inclui um argumento de linha de comando, --no-note, que impede o criptografador de escrever uma nota de resgate no sistema.
Além disso, o criptografador atualizado não contém mais nomes de usuários ou senhas codificados dentro do binário. No entanto, ele ainda pode executar o PsExec usando credenciais existentes, uma técnica recentemente notada pela Morphisec. Curiosamente, pesquisadores de infosec detectaram evidências sugerindo que o grupo pode possuir dados de comprometimentos mais antigos que ocorreram antes de operarem sob o nome Cicada3301.
Isso aumenta as chances de que o agente da ameaça tenha operado anteriormente sob uma marca de ransomware diferente ou adquirido dados de outros grupos de ransomware.
