ScRansom Ransomware

CosmicBeetle అని పిలువబడే ముప్పు నటుడు ScRansom అనే కొత్త కస్టమ్ ransomware వేరియంట్‌ను పరిచయం చేశారు, ప్రత్యేకంగా యూరప్, ఆసియా, ఆఫ్రికా మరియు దక్షిణ అమెరికా అంతటా చిన్న మరియు మధ్య తరహా వ్యాపారాలను (SMBలు) లక్ష్యంగా చేసుకున్నారు. అదనంగా, CosmicBeetle RansomHub సమూహానికి అనుబంధంగా పనిచేస్తుందని అనుమానిస్తున్నారు.

గతంలో Scarab Ransomwareని ఉపయోగించి, CosmicBeetle ఇప్పుడు అభివృద్ధిలో ఉన్న ScRansomకి మార్చబడింది. ransomware అధునాతనతలో ముందంజలో లేనప్పటికీ, సమూహం ఇప్పటికీ గుర్తించదగిన లక్ష్యాలను రాజీ చేసుకోగలిగింది.

కాస్మిన్‌బీటిల్ విభిన్న విభాగాలను లక్ష్యంగా చేసుకుంది

ScRansom దాడులు తయారీ, ఫార్మాస్యూటికల్స్, చట్టపరమైన, విద్య, ఆరోగ్య సంరక్షణ, సాంకేతికత, ఆతిథ్యం, విశ్రాంతి, ఆర్థిక సేవ మరియు ప్రాంతీయ ప్రభుత్వాలతో సహా అనేక రకాల రంగాలను లక్ష్యంగా చేసుకున్నాయి.

NONAME అని కూడా పిలువబడే CosmicBeetle, దాని బెదిరింపు టూల్‌కిట్, Spacecolon కోసం చాలా గుర్తింపు పొందింది, ఇది గతంలో ప్రపంచవ్యాప్తంగా బాధితులకు Scarab Ransomwareని అందించడానికి ఉపయోగించబడింది. నవంబర్ 2023 నాటికి రాన్సమ్ నోట్స్‌లో మరియు లీక్ సైట్‌లలో అపఖ్యాతి పాలైన లాక్‌బిట్ రాన్సమ్‌వేర్ గ్రూప్‌గా నటించడానికి ప్రయత్నిస్తూ, లీక్ అయిన లాక్‌బిట్ బిల్డర్‌తో గ్రూప్ ప్రయోగాలు చేసింది.

దాడి చేసిన వారి గుర్తింపు మరియు మూలం అస్పష్టంగానే ఉంది. మునుపటి సిద్ధాంతం, ఇప్పుడు అసంభవంగా పరిగణించబడుతుంది, ScHackTool అని పిలువబడే మరొక సాధనంలో కనుగొనబడిన అనుకూల ఎన్‌క్రిప్షన్ పద్ధతి కారణంగా అవి టర్కిష్ మూలానికి చెందినవి కావచ్చునని సూచించింది.

సైబర్ నేరగాళ్లచే ఉపయోగించబడిన బహుళ దుర్బలత్వాలు

దాడి గొలుసులు బ్రూట్-ఫోర్స్ దాడులు మరియు అనేక తెలిసిన భద్రతా లోపాలను ఉపయోగించుకోవడం గమనించబడింది (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-20722, -27532) లక్ష్య పరిసరాల్లోకి చొచ్చుకుపోవడానికి.

చొరబాట్లు డెల్ఫీ-ఆధారిత ScRansom Ransomwareని అమలు చేయడానికి ముందు భద్రతా ప్రక్రియలను ముగించడానికి మరియు గుర్తింపును నివారించడానికి రీపర్, డార్క్‌సైడ్ మరియు రియల్‌బ్లిండింగ్‌ఇడిఆర్ వంటి వివిధ సాధనాలను ఉపయోగించడాన్ని కూడా కలిగి ఉంటాయి. గుప్తీకరణ ప్రక్రియను వేగవంతం చేయడానికి ScRansom పాక్షిక గుప్తీకరణను కలిగి ఉంది మరియు స్థిరమైన విలువతో ఫైల్‌లను ఓవర్‌రైట్ చేసే 'ERASE' మోడ్‌ను కలిగి ఉంటుంది, తద్వారా వాటిని తిరిగి పొందలేము.

RansomHubకి సాధ్యమైన కనెక్షన్

RansomHubకి లింక్ ఒక వారంలో ఒకే మెషీన్‌లో అమలు చేయబడిన ScRansom మరియు RansomHub పేలోడ్‌లను కనుగొన్న ఇన్ఫోసెక్ పరిశోధకుల పరిశీలనల నుండి ఉద్భవించింది. మొదటి నుండి కస్టమ్ ransomwareను అభివృద్ధి చేయడంలో సవాళ్లను ఎదుర్కొంటూ, CosmicBeetle LockBit యొక్క ఖ్యాతిని ప్రభావితం చేయడానికి ప్రయత్నించినట్లు కనిపిస్తోంది. ఈ వ్యూహం వారి ransomware లోపాలను అస్పష్టం చేయడానికి మరియు బాధితులు విమోచన క్రయధనం చెల్లించే అవకాశాన్ని మెరుగుపరచడానికి ఉద్దేశించబడింది.

Ransomware ఆపరేటర్లు వారి హానికరమైన సాధనాలను అప్‌డేట్ చేస్తారు

జూలై 2024 నుండి, Cicada3301 Ransomware (రిపెల్లెంట్ స్కార్పియస్ అని కూడా పిలుస్తారు)తో అనుబంధించబడిన ముప్పు నటులు వారి ఎన్‌క్రిప్టర్ యొక్క నవీకరించబడిన సంస్కరణను ఉపయోగించి గమనించబడ్డారు. ఈ కొత్త సంస్కరణలో కమాండ్-లైన్ ఆర్గ్యుమెంట్, --no-note ఉంది, ఇది సిస్టమ్‌కు విమోచన నోట్‌ను వ్రాయకుండా ఎన్‌క్రిప్టర్‌ను నిరోధిస్తుంది.

అదనంగా, నవీకరించబడిన ఎన్‌క్రిప్టర్ ఇకపై బైనరీలో హార్డ్-కోడెడ్ యూజర్‌నేమ్‌లు లేదా పాస్‌వర్డ్‌లను కలిగి ఉండదు. అయినప్పటికీ, ఇది ఇప్పటికీ ఇప్పటికే ఉన్న ఆధారాలను ఉపయోగించి PsExecని అమలు చేయగలదు, ఈ టెక్నిక్ ఇటీవల Morphisecచే గుర్తించబడింది. ఆశ్చర్యకరంగా, ఇన్ఫోసెక్ పరిశోధకులు Cicada3301 పేరుతో పనిచేయడానికి ముందు జరిగిన పాత రాజీల నుండి డేటాను కలిగి ఉండవచ్చని సూచించే సాక్ష్యాలను కనుగొన్నారు.

ఇది బెదిరింపు నటుడు గతంలో వేరే ransomware బ్రాండ్‌లో పనిచేసి ఉండవచ్చు లేదా ఇతర ransomware సమూహాల నుండి డేటాను పొందే అవకాశాలను పెంచుతుంది.