ScRansom Ransomware
Актер претњи познат као ЦосмицБеетле представио је нову прилагођену варијанту рансомваре-а под називом СцРансом, посебно циљану на мала и средња предузећа (СМБ) широм Европе, Азије, Африке и Јужне Америке. Поред тога, ЦосмицБеетле је осумњичен да је деловао као подружница групе РансомХуб .
Раније је користио Сцараб Рансомваре , ЦосмицБеетле је сада прешао на СцРансом, који је у току. Иако није на челу софистицираности рансомваре-а, група је ипак успела да угрози мете вредне пажње.
Преглед садржаја
ЦосминБеетле циља на разноврстан скуп сектора
СцРансом напади су циљани на широк спектар сектора, укључујући производњу, фармацеутску, правну, образовање, здравствену заштиту, технологију, угоститељство, разоноду, финансијске услуге и регионалне владе.
ЦосмицБеетле, такође познат као НОНАМЕ, је најпознатији по свом претећим алатима, Спацецолон, који је раније коришћен за испоруку Сцараб Рансомваре-а жртвама широм света. Група је такође позната по томе да експериментише са програмером ЛоцкБит који је процурио, покушавајући да имитира озлоглашену групу ЛоцкБит Рансомваре у порукама о откупнини и на локацијама за цурење већ у новембру 2023.
Идентитет и порекло нападача остају нејасни. Ранија теорија, која се сада сматра мало вероватном, сугерисала је да би они могли бити турског порекла због прилагођеног метода шифровања који се налази у другом алату под називом СцХацкТоол.
Вишеструке рањивости које користе сајбер криминалци
Уочени су ланци напада који искоришћавају нападе грубом силом и неколико познатих безбедносних рањивости (ЦВЕ-2017-0144, ЦВЕ-2020-1472, ЦВЕ-2021-42278, ЦВЕ-2021-42287, ЦВЕ-2025, и ЦВЕ-2072-420 -27532) да продре у циљна окружења.
Упади такође укључују коришћење различитих алата као што су Реапер, Дарксиде и РеалБлиндингЕДР да би се прекинули безбедносни процеси и избегло откривање пре него што се примени Делпхи базиран СцРансом Рансомваре. СцРансом има делимичну енкрипцију да убрза процес шифровања и укључује режим 'БРИШИ' који преписује датотеке са константном вредношћу, чинећи их непоправљивим.
Могућа веза са РансомХуб-ом
Веза са РансомХуб-ом произилази из запажања истраживача инфосец-а који су пронашли СцРансом и РансомХуб корисна оптерећења распоређена на истој машини у року од недељу дана. Суочавајући се са изазовима развоја прилагођеног рансомваре-а од нуле, чини се да је ЦосмицБеетле покушао да искористи репутацију ЛоцкБита. Ова стратегија може имати за циљ да прикрије недостатке у њиховом рансомваре-у и повећа вероватноћу да ће жртве платити откуп.
Оператери рансомваре-а ажурирају своје штетне алате
Од јула 2024, актери претњи повезани са Цицада3301 Рансомваре- ом (такође познатим као Репеллент Сцорпиус) примећени су користећи ажурирану верзију свог енкриптора. Ова нова верзија укључује аргумент командне линије, --но-ноте, који спречава шифратор да напише белешку о откупнини систему.
Поред тога, ажурирани енкриптор више не садржи тврдо кодирана корисничка имена или лозинке у бинарном систему. Међутим, и даље може да извршава ПсЕкец користећи постојеће акредитиве, технику коју је недавно приметио Морпхисец. Интригантно је да су истраживачи инфосец-а открили доказе који сугеришу да група можда поседује податке из старијих компромиса који су се десили пре него што су радили под именом Цицада3301.
Ово повећава шансе да је актер претње можда раније деловао под другим брендом рансомвера или је добио податке од других група рансомвера.
