ScRansom Ransomware
Dejalec grožnje, znan kot CosmicBeetle, je predstavil novo prilagojeno različico izsiljevalske programske opreme, imenovano ScRansom, ki cilja posebej na mala in srednje velika podjetja (SMB) po Evropi, Aziji, Afriki in Južni Ameriki. Poleg tega je CosmicBeetle osumljen, da deluje kot podružnica skupine RansomHub .
CosmicBeetle, ki je prej uporabljal izsiljevalsko programsko opremo Scarab , je zdaj prešel na ScRansom, ki je v teku. Čeprav ni v ospredju sofisticiranosti izsiljevalske programske opreme, je skupini vseeno uspelo ogroziti omembe vredne tarče.
Kazalo
CosminBeetle cilja na raznolik nabor sektorjev
Napadi ScRansom so bili usmerjeni na široko paleto sektorjev, vključno s proizvodnjo, farmacevtskimi izdelki, pravnim sektorjem, izobraževanjem, zdravstvenim varstvom, tehnologijo, gostinstvom, prostim časom, finančnimi storitvami in regionalnimi vladami.
CosmicBeetle, znan tudi kot NONAME, je najbolj znan po svojem kompletu orodij za grožnje, Spacecolon, ki je bil prej uporabljen za dostavo izsiljevalske programske opreme Scarab žrtvam po vsem svetu. Skupina je znana tudi po tem, da eksperimentira z razkritim graditeljem LockBit, pri čemer se že novembra 2023 poskuša izdati za zloglasno skupino izsiljevalske programske opreme LockBit v obvestilih o odkupnini in na spletnih mestih, kjer je prišlo do uhajanja informacij.
Identiteta in izvor napadalcev ostajata nejasna. Prejšnja teorija, ki zdaj velja za malo verjetno, je predlagala, da bi lahko bili turškega izvora zaradi metode šifriranja po meri, ki jo najdemo v drugem orodju, imenovanem ScHackTool.
Več ranljivosti, ki jih izkoriščajo kibernetski kriminalci
Opažene so bile verige napadov, ki izkoriščajo napade s surovo silo in več znanih varnostnih ranljivosti (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 in CVE-2023 -27532) za prodor v ciljna okolja.
Vdori vključujejo tudi uporabo različnih orodij, kot so Reaper, Darkside in RealBlindingEDR za prekinitev varnostnih procesov in izogibanje odkritju pred uvedbo izsiljevalske programske opreme ScRansom, ki temelji na Delphiju. ScRansom vključuje delno šifriranje za pospešitev postopka šifriranja in vključuje način 'IZBRIŠI', ki prepiše datoteke s konstantno vrednostjo, zaradi česar jih ni mogoče obnoviti.
Možna povezava z RansomHub
Povezava z RansomHub izhaja iz opazovanj raziskovalcev informacijske varnosti, ki so v enem tednu ugotovili, da so bili tovori ScRansom in RansomHub nameščeni na istem računalniku. Zdi se, da je CosmicBeetle, ki se sooča z izzivi razvoja prilagojene izsiljevalske programske opreme iz nič, poskušal izkoristiti ugled LockBita. Ta strategija je morda namenjena zakrivanju napak v njihovi izsiljevalski programski opremi in povečanju verjetnosti, da bodo žrtve plačale odkupnino.
Operaterji izsiljevalske programske opreme posodobijo svoja škodljiva orodja
Od julija 2024 so akterje groženj, povezane z izsiljevalsko programsko opremo Cicada3301 (znano tudi kot Repellent Scorpius), opazili s posodobljeno različico njihovega šifrirnika. Ta nova različica vključuje argument ukazne vrstice, --no-note, ki šifratorju preprečuje, da bi v sistem napisal obvestilo o odkupnini.
Poleg tega posodobljeni šifrirnik ne vsebuje več trdo kodiranih uporabniških imen ali gesel v binarnem zapisu. Vendar pa lahko še vedno izvede PsExec z uporabo obstoječih poverilnic, tehniko, ki jo je nedavno opazil Morphisec. Zanimivo je, da so raziskovalci infosec odkrili dokaze, ki kažejo, da ima skupina morda podatke iz starejših kompromisov, do katerih je prišlo, preden so delovali pod imenom Cicada3301.
To poveča možnosti, da je povzročitelj grožnje morda prej deloval pod drugo blagovno znamko izsiljevalske programske opreme ali pridobival podatke od drugih skupin izsiljevalske programske opreme.
