ScRansom Программа-вымогатель
Известный как CosmicBeetle злоумышленник представил новый вариант пользовательского вымогателя под названием ScRansom, специально нацеленный на малый и средний бизнес (SMB) в Европе, Азии, Африке и Южной Америке. Кроме того, CosmicBeetle подозревается в том, что он действует как аффилированное лицо группировки RansomHub .
Ранее использовавший Scarab Ransomware , CosmicBeetle теперь перешел на ScRansom, который находится в стадии разработки. Хотя группа и не находится на переднем крае изощренности программ-вымогателей, ей все же удалось скомпрометировать достойные внимания цели.
Оглавление
CosminBeetle нацелен на различные секторы
Атаки ScRansom были нацелены на широкий спектр секторов, включая производство, фармацевтику, юриспруденцию, образование, здравоохранение, технологии, гостиничный бизнес, досуг, финансовые услуги и региональные органы власти.
CosmicBeetle, также известный как NONAME, наиболее известен своим угрожающим набором инструментов Spacecolon, который ранее использовался для доставки Scarab Ransomware жертвам по всему миру. Известно также, что группа экспериментировала с утекшим конструктором LockBit, пытаясь выдать себя за печально известную группу LockBit Ransomware в записках с требованием выкупа и на сайтах утечек еще в ноябре 2023 года.
Личность и происхождение нападавших остаются неясными. Более ранняя теория, которая теперь считается маловероятной, предполагала, что они могут быть турецкого происхождения из-за специального метода шифрования, обнаруженного в другом инструменте под названием ScHackTool.
Множественные уязвимости, используемые киберпреступниками
Были замечены цепочки атак, использующие атаки методом подбора и несколько известных уязвимостей безопасности (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 и CVE-2023-27532) для проникновения в целевые среды.
Вторжения также включают использование различных инструментов, таких как Reaper, Darkside и RealBlindingEDR, для завершения процессов безопасности и избежания обнаружения перед развертыванием ScRansom Ransomware на основе Delphi. ScRansom использует частичное шифрование для ускорения процесса шифрования и включает режим «ERASE», который перезаписывает файлы постоянным значением, делая их невосстановимыми.
Возможная связь с RansomHub
Связь с RansomHub возникла из наблюдений исследователей информационной безопасности, которые обнаружили, что полезные нагрузки ScRansom и RansomHub были развернуты на одной и той же машине в течение недели. Столкнувшись с трудностями разработки собственного вымогателя с нуля, CosmicBeetle, похоже, попытался воспользоваться репутацией LockBit. Эта стратегия может быть направлена на то, чтобы скрыть недостатки в их вымогательском ПО и повысить вероятность того, что жертвы заплатят выкуп.
Операторы программ-вымогателей обновляют свои вредоносные инструменты
С июля 2024 года за злоумышленниками, связанными с программой-вымогателем Cicada3301 (также известной как Repellent Scorpius), наблюдалось использование обновленной версии их шифровальщика. Эта новая версия включает аргумент командной строки --no-note, который не позволяет шифровальщику записывать в систему записку с требованием выкупа.
Кроме того, обновленный шифратор больше не содержит жестко закодированных имен пользователей или паролей в двоичном файле. Однако он все еще может выполнять PsExec, используя существующие учетные данные, метод, недавно отмеченный Morphisec. Интересно, что исследователи Infosec обнаружили доказательства, предполагающие, что группа может обладать данными из старых компрометаций, которые произошли до того, как они работали под именем Cicada3301.
Это повышает вероятность того, что ранее злоумышленник мог действовать под другим брендом вируса-вымогателя или получить данные от других групп вирусов-вымогателей.
