ScRansom Ransomware
Actorul de amenințări cunoscut sub numele de CosmicBeetle a introdus o nouă variantă de ransomware personalizat numită ScRansom, care vizează în mod special întreprinderile mici și mijlocii (IMM-uri) din Europa, Asia, Africa și America de Sud. În plus, CosmicBeetle este suspectat că acționează ca un afiliat pentru grupul RansomHub .
Folosind anterior Scarab Ransomware , CosmicBeetle a trecut acum la ScRansom, care este în curs de dezvoltare. Deși nu este în fruntea rafinamentului ransomware, grupul a reușit totuși să compromită ținte demne de remarcat.
Cuprins
CosminBeetle vizează un set divers de sectoare
Atacurile ScRansom au vizat o gamă largă de sectoare, inclusiv producție, produse farmaceutice, juridic, educație, asistență medicală, tehnologie, ospitalitate, agrement, servicii financiare și guverne regionale.
CosmicBeetle, cunoscut și sub numele de NONAME, este cel mai cunoscut pentru trusa de instrumente amenințătoare, Spacecolon, care a fost folosit anterior pentru a livra Scarab Ransomware victimelor din întreaga lume. De asemenea, se știe că grupul experimentează cu generatorul de scurgeri LockBit, încercând să uzurpare identitatea notoriului grup LockBit Ransomware în notele de răscumpărare și pe site-urile de scurgeri încă din noiembrie 2023.
Identitatea și originea atacatorilor rămân neclare. O teorie anterioară, considerată acum improbabilă, sugera că ar putea fi de origine turcă din cauza unei metode de criptare personalizată găsită într-un alt instrument numit ScHackTool.
Vulnerabilități multiple exploatate de infractorii cibernetici
Au fost observate lanțuri de atac care exploatează atacuri de forță brută și mai multe vulnerabilități de securitate cunoscute (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 și CVE-2023). -27532) pentru a pătrunde în mediile țintă.
Intruziunile implică, de asemenea, utilizarea diferitelor instrumente, cum ar fi Reaper, Darkside și RealBlindingEDR, pentru a încheia procesele de securitate și pentru a evita detectarea înainte de a implementa ScRansom Ransomware bazat pe Delphi. ScRansom dispune de criptare parțială pentru a accelera procesul de criptare și include un mod „ȘTERGERE” care suprascrie fișierele cu o valoare constantă, făcându-le irecuperabile.
Posibilă conexiune la RansomHub
Legătura către RansomHub provine din observațiile cercetătorilor infosec care au găsit încărcături utile ScRansom și RansomHub implementate pe aceeași mașină în decurs de o săptămână. Confruntându-se cu provocările dezvoltării unui ransomware personalizat de la zero, CosmicBeetle pare să fi încercat să profite de reputația LockBit. Această strategie poate avea scopul de a ascunde defectele din ransomware-ul lor și de a îmbunătăți probabilitatea ca victimele să plătească răscumpărarea.
Operatorii de ransomware își actualizează instrumentele dăunătoare
Din iulie 2024, actorii de amenințări asociați cu Cicada3301 Ransomware (cunoscut și sub numele de Repellent Scorpius) au fost observați folosind o versiune actualizată a criptatorului lor. Această nouă versiune include un argument de linie de comandă, --no-note, care împiedică criptatorul să scrie o notă de răscumpărare în sistem.
În plus, criptatorul actualizat nu mai conține nume de utilizator sau parole codificate în sistem binar. Cu toate acestea, încă poate executa PsExec folosind acreditările existente, o tehnică observată recent de Morphisec. În mod intrigant, cercetătorii infosec au detectat dovezi care sugerează că grupul ar putea deține date din compromisuri mai vechi care au avut loc înainte de a funcționa sub numele Cicada3301.
Acest lucru crește șansele ca actorul amenințării să fi funcționat anterior sub o altă marcă de ransomware sau să fi obținut date de la alte grupuri de ransomware.
