ScRansom Ransomware
Ang threat actor na kilala bilang CosmicBeetle ay nagpakilala ng bagong custom na variant ng ransomware na tinatawag na ScRansom, partikular na nagta-target ng mga small- and medium-sized na negosyo (SMBs) sa buong Europe, Asia, Africa at South America. Bilang karagdagan, ang CosmicBeetle ay pinaghihinalaang kumikilos bilang isang kaakibat para sa pangkat ng RansomHub .
Dati gamit ang Scarab Ransomware , ang CosmicBeetle ay lumipat na ngayon sa Scransom, na nasa ilalim ng patuloy na pag-unlad. Bagama't hindi nangunguna sa pagiging sopistikado ng ransomware, nagawa pa rin ng grupo na ikompromiso ang mga kapansin-pansing target.
Talaan ng mga Nilalaman
Nagta-target ang CosminBeetle ng Iba’t-ibang Hanay ng mga Sektor
Ang mga pag-atake ng Scransom ay nag-target ng malawak na hanay ng mga sektor, kabilang ang pagmamanupaktura, mga parmasyutiko, legal, edukasyon, pangangalagang pangkalusugan, teknolohiya, mabuting pakikitungo, paglilibang, serbisyong pinansyal at mga pamahalaang pangrehiyon.
Ang CosmicBeetle, na kilala rin bilang NONAME, ay pinaka kinikilala para sa nagbabantang toolkit nito, ang Spacecolon, na dating ginamit upang maihatid ang Scarab Ransomware sa mga biktima sa buong mundo. Kilala rin ang grupo na mag-eksperimento sa nag-leak na LockBit builder, na nagtatangkang gayahin ang kilalang LockBit Ransomware group sa mga ransom notes at sa mga leak site noong Nobyembre 2023.
Ang pagkakakilanlan at pinagmulan ng mga umaatake ay nananatiling hindi malinaw. Ang isang naunang teorya, na itinuturing na hindi malamang, ay nagmungkahi na maaaring sila ay nagmula sa Turkish dahil sa isang custom na paraan ng pag-encrypt na matatagpuan sa isa pang tool na tinatawag na ScHackTool.
Maramihang Mga Kahinaan na Pinagsasamantalahan ng Mga Cybercriminal
Ang mga kadena ng pag-atake ay naobserbahan na nagsasamantala sa mga malupit na pag-atake at ilang kilalang kahinaan sa seguridad (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42472, at CVE-2022-42475 -27532) upang tumagos sa mga target na kapaligiran.
Kasama rin sa mga panghihimasok ang paggamit ng iba't ibang tool tulad ng Reaper, Darkside , at RealBlindingEDR upang wakasan ang mga proseso ng seguridad at maiwasan ang pagtuklas bago i-deploy ang Delphi-based na Scransom Ransomware. Nagtatampok ang Scransom ng bahagyang pag-encrypt upang mapabilis ang proseso ng pag-encrypt at may kasamang mode na 'ERASE' na nag-o-overwrite sa mga file na may pare-parehong halaga, na ginagawang hindi na mababawi ang mga ito.
Posibleng Koneksyon sa RansomHub
Ang link sa RansomHub ay nagmula sa mga obserbasyon ng mga mananaliksik ng infosec na natagpuan ang mga payload ng ScRansom at RansomHub na naka-deploy sa parehong makina sa loob ng isang linggo. Sa pagharap sa mga hamon ng pagbuo ng custom na ransomware mula sa simula, mukhang sinubukan ng CosmicBeetle na gamitin ang reputasyon ng LockBit. Ang diskarte na ito ay maaaring inilaan upang itago ang mga kapintasan sa kanilang ransomware at pagbutihin ang posibilidad na ang mga biktima ay magbabayad ng ransom.
Ina-update ng Mga Operator ng Ransomware ang Kanilang Mga Masakit na Tool
Mula noong Hulyo 2024, ang mga banta ng aktor na nauugnay sa Cicada3301 Ransomware (kilala rin bilang Repellent Scorpius) ay naobserbahan gamit ang isang na-update na bersyon ng kanilang encryptor. Ang bagong bersyon na ito ay may kasamang command-line argument, --no-note, na pumipigil sa encryptor na magsulat ng ransom note sa system.
Bilang karagdagan, ang na-update na encryptor ay hindi na naglalaman ng mga hard-coded na username o password sa loob ng binary. Gayunpaman, maaari pa rin nitong isagawa ang PsExec gamit ang mga umiiral nang kredensyal, isang pamamaraan na kamakailang binanggit ng Morphisec. Nakakaintriga, ang mga mananaliksik ng infosec ay nakakita ng ebidensya na nagmumungkahi na ang grupo ay maaaring magkaroon ng data mula sa mga mas lumang kompromiso na naganap bago sila gumana sa ilalim ng pangalang Cicada3301.
Pinapataas nito ang mga pagkakataon na ang aktor ng pagbabanta ay maaaring dati nang gumana sa ilalim ng ibang brand ng ransomware o nakakuha ng data mula sa ibang mga pangkat ng ransomware.
