ScRansom Ransomware
Hrozbový aktér známy ako CosmicBeetle predstavil nový vlastný variant ransomvéru s názvom ScRansom, ktorý sa špeciálne zameriava na malé a stredné podniky (SMB) v Európe, Ázii, Afrike a Južnej Amerike. Okrem toho je CosmicBeetle podozrivý z toho, že pôsobí ako pridružená spoločnosť skupiny RansomHub .
Spoločnosť CosmicBeetle, ktorá predtým používala Scarab Ransomware , teraz prešla na ScRansom, ktorý sa neustále vyvíja. Hoci nie je v popredí sofistikovanosti ransomvéru, skupine sa stále podarilo kompromitovať pozoruhodné ciele.
Obsah
CosminBeetle sa zameriava na rôznorodú skupinu sektorov
Útoky ScRansom sa zamerali na širokú škálu sektorov vrátane výroby, farmácie, práva, vzdelávania, zdravotníctva, technológií, pohostinstva, voľného času, finančných služieb a regionálnych vlád.
CosmicBeetle, tiež známy ako NONAME, je najviac uznávaný pre svoju hrozivú sadu nástrojov Spacecolon, ktorá sa predtým používala na doručovanie Scarab Ransomware obetiam na celom svete. O tejto skupine je tiež známe, že experimentuje s uniknutým tvorcom LockBit, pričom sa už v novembri 2023 pokúša vydávať za notoricky známu skupinu LockBit Ransomware v poznámkach o výkupnom a na stránkach úniku.
Identita a pôvod útočníkov zostáva nejasný. Skoršia teória, ktorá sa teraz považuje za nepravdepodobnú, naznačovala, že by mohli byť tureckého pôvodu kvôli vlastnej metóde šifrovania, ktorá sa nachádza v inom nástroji s názvom ScHackTool.
Kyberzločinci využívajú viaceré zraniteľnosti
Boli pozorované reťazce útokov využívajúce útoky hrubou silou a niekoľko známych bezpečnostných zraniteľností (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-424025 a CVE-2022-424023 a -27532) na prienik do cieľových prostredí.
Vniknutia zahŕňajú aj použitie rôznych nástrojov, ako sú Reaper, Darkside a RealBlindingEDR na ukončenie bezpečnostných procesov a zabránenie odhaleniu pred nasadením ScRansom Ransomware založeného na Delphi. ScRansom obsahuje čiastočné šifrovanie na urýchlenie procesu šifrovania a zahŕňa režim „ERASE“, ktorý prepisuje súbory s konštantnou hodnotou, čím sa stávajú neobnoviteľné.
Možné pripojenie k RansomHub
Odkaz na RansomHub vychádza z pozorovaní výskumníkov z infosec, ktorí našli užitočné zaťaženie ScRansom a RansomHub nasadené na rovnakom stroji do týždňa. Zdá sa, že CosmicBeetle čelí výzvam vývoja vlastného ransomvéru od nuly a snaží sa využiť reputáciu LockBit. Táto stratégia môže byť zameraná na zakrytie nedostatkov v ich ransomware a zvýšenie pravdepodobnosti, že obete zaplatia výkupné.
Prevádzkovatelia ransomvéru aktualizujú svoje škodlivé nástroje
Od júla 2024 boli aktéri hrozieb spojení s Cicada3301 Ransomware (známy aj ako Repellent Scorpius) pozorovaní pomocou aktualizovanej verzie ich šifrovača. Táto nová verzia obsahuje argument príkazového riadka --no-note, ktorý bráni šifrovaču zapísať do systému poznámku o výkupnom.
Okrem toho aktualizovaný šifrovač už neobsahuje napevno zakódované používateľské mená alebo heslá v binárnom súbore. Stále však môže vykonávať PsExec pomocou existujúcich poverení, čo je technika, ktorú nedávno poznamenal Morphisec. Je zaujímavé, že výskumníci z Infosec objavili dôkazy naznačujúce, že skupina môže vlastniť údaje zo starších kompromisov, ku ktorým došlo predtým, ako fungovali pod názvom Cicada3301.
To zvyšuje šance, že aktér hrozby mohol predtým pôsobiť pod inou značkou ransomvéru alebo získať údaje od iných skupín ransomvéru.
