Hotdatabas Ransomware ScRansom Ransomware

ScRansom Ransomware

Hotaktören känd som CosmicBeetle har introducerat en ny anpassad ransomware-variant som heter ScRansom, specifikt inriktad på små och medelstora företag (SMB) i Europa, Asien, Afrika och Sydamerika. Dessutom misstänks CosmicBeetle för att agera som affiliate för RansomHub -gruppen.

Tidigare använde Scarab Ransomware , CosmicBeetle har nu övergått till ScRansom, som är under pågående utveckling. Även om den inte ligger i framkant av sofistikerad ransomware, har gruppen ändå lyckats kompromissa med anmärkningsvärda mål.

CosminBeetle riktar sig till en mångfald av sektorer

ScRansom-attacker har riktats mot ett brett spektrum av sektorer, inklusive tillverkning, läkemedel, juridik, utbildning, sjukvård, teknik, gästfrihet, fritid, finansiella tjänster och regionala myndigheter.

CosmicBeetle, även känd som NONAME, är mest känd för sin hotfulla verktygslåda, Spacecolon, som tidigare användes för att leverera Scarab Ransomware till offer över hela världen. Gruppen har också varit känd för att experimentera med den läckta LockBit-byggaren, och försökte imitera den ökända LockBit Ransomware- gruppen i lösensedlar och på läckplatser så tidigt som i november 2023.

Angriparnas identitet och ursprung är fortfarande oklart. En tidigare teori, som nu anses osannolik, föreslog att de kan vara av turkiskt ursprung på grund av en anpassad krypteringsmetod som finns i ett annat verktyg som heter ScHackTool.

Flera sårbarheter som utnyttjas av cyberbrottslingar

Attackkedjor har observerats utnyttja brute-force-attacker och flera kända säkerhetsbrister (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 och CVE-23 -27532) för att penetrera målmiljöer.

Intrången innebär också att man använder olika verktyg som Reaper, Darkside och RealBlindingEDR för att avsluta säkerhetsprocesser och undvika upptäckt innan den Delphi-baserade ScRansom Ransomware distribueras. ScRansom har partiell kryptering för att påskynda krypteringsprocessen och inkluderar ett "ERASE"-läge som skriver över filer med ett konstant värde, vilket gör dem omöjliga att återställa.

Möjlig anslutning till RansomHub

Länken till RansomHub uppstår från observationer av infosec-forskare som hittade ScRansom och RansomHub nyttolaster utplacerade på samma maskin inom en vecka. Med tanke på utmaningarna med att utveckla anpassad ransomware från grunden, verkar CosmicBeetle ha försökt att utnyttja LockBits rykte. Denna strategi kan vara avsedd att dölja brister i deras lösenprogram och förbättra sannolikheten för att offren kommer att betala lösensumman.

Ransomware-operatörer uppdaterar sina skadliga verktyg

Sedan juli 2024 har hotaktörer associerade med Cicada3301 Ransomware (även känd som Repellent Scorpius) observerats med hjälp av en uppdaterad version av deras kryptering. Den här nya versionen innehåller ett kommandoradsargument, --no-note, som hindrar kryptören från att skriva en lösennota till systemet.

Dessutom innehåller den uppdaterade krypteringen inte längre hårdkodade användarnamn eller lösenord inom binären. Det kan dock fortfarande köra PsExec med befintliga referenser, en teknik som nyligen noterats av Morphisec. Intressant nog har infosec-forskare upptäckt bevis som tyder på att gruppen kan ha data från äldre kompromisser som inträffade innan de opererade under namnet Cicada3301.

Detta ökar chanserna att hotaktören tidigare kan ha opererat under ett annat ransomware-varumärke eller skaffat data från andra ransomware-grupper.

Trendigt

Mest sedda

Läser in...