ScRansom Ransomware
Aktori i kërcënimit i njohur si CosmicBeetle ka prezantuar një variant të ri me porosi ransomware të quajtur ScRansom, duke synuar veçanërisht bizneset e vogla dhe të mesme (SMB) në të gjithë Evropën, Azinë, Afrikën dhe Amerikën e Jugut. Për më tepër, CosmicBeetle dyshohet se vepron si një filial i grupit RansomHub .
Duke përdorur më parë Scarab Ransomware , CosmicBeetle tani ka kaluar në ScRansom, i cili është në zhvillim të vazhdueshëm. Edhe pse jo në ballë të sofistikimit të ransomware, grupi ka arritur ende të komprometojë objektiva të rëndësishëm.
Tabela e Përmbajtjes
CosminBeetle synon një grup të ndryshëm sektorësh
Sulmet ScRansom kanë shënjestruar një gamë të gjerë sektorësh, duke përfshirë prodhimin, farmaceutikën, ligjin, arsimin, kujdesin shëndetësor, teknologjinë, mikpritjen, kohën e lirë, shërbimet financiare dhe qeveritë rajonale.
CosmicBeetle, i njohur gjithashtu si NONAME, është më i njohur për paketën e tij kërcënuese të mjeteve, Spacecolon, i cili është përdorur më parë për të ofruar Scarab Ransomware për viktimat në mbarë botën. Grupi ka qenë gjithashtu i njohur për eksperimentimin me ndërtuesin e rrjedhur të LockBit, duke u përpjekur të imitojë grupin famëkeq LockBit Ransomware në shënimet e shpërblesës dhe në faqet e rrjedhjeve që në nëntor 2023.
Identiteti dhe origjina e sulmuesve mbeten të paqarta. Një teori e mëparshme, që tani konsiderohet e pamundur, sugjeroi se ato mund të jenë me origjinë turke për shkak të një metode të personalizuar të kriptimit që gjendet në një mjet tjetër të quajtur ScHackTool.
Dobësi të shumta të shfrytëzuara nga kriminelët kibernetikë
Zinxhirët e sulmeve janë vërejtur duke shfrytëzuar sulme të forcës brutale dhe disa dobësi të njohura të sigurisë (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-202220-42, CVE-2022, 3-42 -27532) për të depërtuar në mjediset e synuara.
Ndërhyrjet përfshijnë gjithashtu përdorimin e mjeteve të ndryshme si Reaper, Darkside dhe RealBlindingEDR për të përfunduar proceset e sigurisë dhe për të shmangur zbulimin përpara se të vendoset ScRansom Ransomware i bazuar në Delphi. ScRansom përmban enkriptim të pjesshëm për të përshpejtuar procesin e enkriptimit dhe përfshin një modalitet 'FSHIRJE' që mbishkruan skedarët me një vlerë konstante, duke i bërë ata të pa rikuperueshëm.
Lidhja e mundshme me RansomHub
Lidhja me RansomHub lind nga vëzhgimet e studiuesve të infosec, të cilët gjetën ngarkesat ScRansom dhe RansomHub të vendosura në të njëjtën makinë brenda një jave. Duke u përballur me sfidat e zhvillimit të ransomware të personalizuar nga e para, CosmicBeetle duket se është përpjekur të shfrytëzojë reputacionin e LockBit. Kjo strategji mund të synojë të fshehë të metat në ransomware-in e tyre dhe të përmirësojë gjasat që viktimat të paguajnë shpërblimin.
Operatorët e Ransomware përditësojnë mjetet e tyre të dëmshme
Që nga korriku 2024, aktorët e kërcënimit të lidhur me Cicada3301 Ransomware (i njohur gjithashtu si Repellent Scorpius) janë vëzhguar duke përdorur një version të përditësuar të enkriptorit të tyre. Ky version i ri përfshin një argument të linjës së komandës, --no-note, i cili e pengon enkriptuesin të shkruajë një shënim shpërblimi në sistem.
Për më tepër, enkriptuesi i përditësuar nuk përmban më emra përdoruesish ose fjalëkalime të koduar në binar. Megjithatë, ai ende mund të ekzekutojë PsExec duke përdorur kredencialet ekzistuese, një teknikë e vërejtur së fundmi nga Morphisec. Në mënyrë intriguese, studiuesit e infosec kanë zbuluar prova që sugjerojnë se grupi mund të zotërojë të dhëna nga kompromise të vjetra që kanë ndodhur përpara se të vepronin me emrin Cicada3301.
Kjo rrit shanset që aktori i kërcënimit mund të ketë operuar më parë nën një markë të ndryshme ransomware ose të ketë marrë të dhëna nga grupe të tjera ransomware.
