ScRansom แรนซัมแวร์

ผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ CosmicBeetle ได้เปิดตัวแรนซัมแวร์รูปแบบใหม่ที่เรียกว่า ScRansom โดยมุ่งเป้าไปที่ธุรกิจขนาดเล็กและขนาดกลาง (SMB) ทั่วทั้งยุโรป เอเชีย แอฟริกา และอเมริกาใต้ นอกจากนี้ CosmicBeetle ยังถูกสงสัยว่ามีส่วนเกี่ยวข้องกับกลุ่ม RansomHub

ก่อนหน้านี้ CosmicBeetle เคยใช้ Scarab Ransomware แต่ตอนนี้ได้เปลี่ยนไปใช้ ScRansom แล้ว ซึ่งอยู่ระหว่างการพัฒนาอย่างต่อเนื่อง ถึงแม้จะไม่ได้เป็นผู้นำในด้านความซับซ้อนของแรนซัมแวร์ แต่กลุ่มนี้ก็ยังสามารถเข้าถึงเป้าหมายที่สำคัญได้

CosminBeetle มุ่งเป้าไปที่กลุ่มอุตสาหกรรมที่หลากหลาย

การโจมตี ScRansom ได้มุ่งเป้าไปที่หลากหลายภาคส่วน รวมถึงการผลิต ยา กฎหมาย การศึกษา การดูแลสุขภาพ เทคโนโลยี การต้อนรับ การพักผ่อนหย่อนใจ บริการทางการเงิน และรัฐบาลระดับภูมิภาค

CosmicBeetle หรือที่รู้จักกันในชื่อ NONAME เป็นที่รู้จักมากที่สุดจากชุดเครื่องมือคุกคาม Spacecolon ซึ่งก่อนหน้านี้เคยใช้ในการส่ง Scarab Ransomware ให้กับเหยื่อทั่วโลก กลุ่มนี้ยังเป็นที่รู้จักในการทดลองกับโปรแกรมสร้าง LockBit ที่รั่วไหล โดยพยายามปลอมตัวเป็นกลุ่ม LockBit Ransomware ที่มีชื่อเสียงในบันทึกเรียกค่าไถ่และบนเว็บไซต์ที่รั่วไหลเร็วที่สุดในเดือนพฤศจิกายน 2023

ตัวตนและที่มาของผู้โจมตียังคงไม่ชัดเจน ทฤษฎีก่อนหน้านี้ซึ่งปัจจุบันถือว่าไม่น่าเป็นไปได้ ระบุว่าผู้โจมตีอาจมีต้นกำเนิดจากตุรกีเนื่องจากวิธีการเข้ารหัสแบบกำหนดเองที่พบในเครื่องมืออื่นที่เรียกว่า ScHackTool

ช่องโหว่หลายจุดถูกใช้ประโยชน์โดยอาชญากรไซเบอร์

พบว่ามีการโจมตีโดยใช้กำลังบรูทฟอร์ซและช่องโหว่ด้านความปลอดภัยที่ทราบหลายรายการ (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 และ CVE-2023-27532) เพื่อเจาะเข้าสู่สภาพแวดล้อมเป้าหมาย

การบุกรุกยังเกี่ยวข้องกับการใช้เครื่องมือต่างๆ เช่น Reaper, Darkside และ RealBlindingEDR เพื่อยุติกระบวนการรักษาความปลอดภัยและหลีกเลี่ยงการตรวจจับก่อนที่จะใช้งาน ScRansom Ransomware ที่ใช้ Delphi ScRansom มีคุณลักษณะการเข้ารหัสบางส่วนเพื่อเร่งกระบวนการเข้ารหัสและรวมถึงโหมด 'ERASE' ที่จะเขียนทับไฟล์ด้วยค่าคงที่ ทำให้ไม่สามารถกู้คืนได้

การเชื่อมต่อที่เป็นไปได้กับ RansomHub

ลิงก์ไปยัง RansomHub เกิดจากการสังเกตของนักวิจัยด้าน infosec ซึ่งพบว่ามีการนำโหลด ScRansom และ RansomHub ไปใช้งานบนเครื่องเดียวกันภายในหนึ่งสัปดาห์ เมื่อเผชิญกับความท้าทายในการพัฒนาแรนซัมแวร์แบบกำหนดเองตั้งแต่ต้น CosmicBeetle ดูเหมือนจะพยายามใช้ประโยชน์จากชื่อเสียงของ LockBit กลยุทธ์นี้อาจมีจุดมุ่งหมายเพื่อปกปิดข้อบกพร่องในแรนซัมแวร์และเพิ่มโอกาสที่เหยื่อจะจ่ายค่าไถ่

ผู้ปฏิบัติการ Ransomware อัปเดตเครื่องมือที่เป็นอันตรายของพวกเขา

ตั้งแต่เดือนกรกฎาคม 2024 เป็นต้นมา ผู้ก่อภัยคุกคามที่เกี่ยวข้องกับ แรนซัมแวร์ Cicada3301 (หรือที่รู้จักกันในชื่อ Repellent Scorpius) ถูกตรวจพบว่าใช้โปรแกรมเข้ารหัสเวอร์ชันอัปเดต เวอร์ชันใหม่นี้มีอาร์กิวเมนต์บรรทัดคำสั่ง --no-note ซึ่งป้องกันไม่ให้โปรแกรมเข้ารหัสเขียนบันทึกเรียกค่าไถ่ไปยังระบบ

นอกจากนี้ ตัวเข้ารหัสที่อัปเดตแล้วจะไม่มีชื่อผู้ใช้หรือรหัสผ่านที่เข้ารหัสแบบฮาร์ดโค้ดภายในไบนารีอีกต่อไป อย่างไรก็ตาม ตัวเข้ารหัสยังสามารถเรียกใช้ PsExec ได้โดยใช้ข้อมูลประจำตัวที่มีอยู่ ซึ่งเป็นเทคนิคที่ Morphisec ระบุไว้เมื่อไม่นานนี้ ที่น่าสนใจคือ นักวิจัยด้าน infosec ได้ตรวจพบหลักฐานที่บ่งชี้ว่ากลุ่มดังกล่าวอาจมีข้อมูลจากการประนีประนอมในอดีตที่เกิดขึ้นก่อนที่พวกเขาจะปฏิบัติการภายใต้ชื่อ Cicada3301

สิ่งนี้เพิ่มโอกาสที่ผู้ก่อให้เกิดภัยคุกคามอาจเคยปฏิบัติการภายใต้แบรนด์แรนซัมแวร์อื่นมาก่อนหรือได้รับข้อมูลจากกลุ่มแรนซัมแวร์อื่น