ScRansom Ransomware
CosmicBeetle olarak bilinen tehdit aktörü, özellikle Avrupa, Asya, Afrika ve Güney Amerika'daki küçük ve orta ölçekli işletmeleri (KOBİ'ler) hedef alan ScRansom adlı yeni bir özel fidye yazılımı çeşidi tanıttı. Ayrıca, CosmicBeetle'ın RansomHub grubunun bir iştiraki olarak hareket ettiğinden şüpheleniliyor.
Daha önce Scarab Ransomware kullanan CosmicBeetle, şu anda geliştirme aşamasında olan ScRansom'a geçiş yaptı. Fidye yazılımı karmaşıklığında ön saflarda olmasa da, grup yine de önemli hedefleri tehlikeye atmayı başardı.
İçindekiler
CosminBeetle Çeşitli Sektörleri Hedefliyor
ScRansom saldırıları imalat, ilaç, hukuk, eğitim, sağlık, teknoloji, konaklama, eğlence, finansal hizmetler ve bölgesel hükümetler de dahil olmak üzere çok çeşitli sektörleri hedef aldı.
NONAME olarak da bilinen CosmicBeetle, daha önce Scarab Ransomware'i dünya çapındaki kurbanlara ulaştırmak için kullanılan tehdit edici araç takımı Spacecolon ile tanınır. Grubun ayrıca sızdırılan LockBit oluşturucusunu deneyerek, kötü şöhretli LockBit Ransomware grubunu fidye notlarında ve sızıntı sitelerinde Kasım 2023 gibi erken bir tarihte taklit etmeye çalıştığı da bilinmektedir.
Saldırganların kimliği ve kökeni belirsizliğini koruyor. Artık olası görülmeyen daha önceki bir teori, ScHackTool adlı başka bir araçta bulunan özel bir şifreleme yöntemi nedeniyle Türk kökenli olabileceklerini öne sürüyordu.
Siber Suçlular Tarafından Çok Sayıda Güvenlik Açığı Kullanıldı
Saldırı zincirlerinin hedef ortamlara sızmak için kaba kuvvet saldırılarını ve bilinen bazı güvenlik açıklarını (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 ve CVE-2023-27532) kullandığı gözlemlenmiştir.
Saldırılar ayrıca, Delphi tabanlı ScRansom Ransomware'i dağıtmadan önce güvenlik süreçlerini sonlandırmak ve tespit edilmekten kaçınmak için Reaper, Darkside ve RealBlindingEDR gibi çeşitli araçların kullanılmasını da içeriyor. ScRansom, şifreleme sürecini hızlandırmak için kısmi şifreleme özelliğine sahip ve dosyaları sabit bir değerle üzerine yazan ve onları kurtarılamaz hale getiren bir 'ERASE' modu içeriyor.
RansomHub’a Olası Bağlantı
RansomHub'a bağlantı, ScRansom ve RansomHub yüklerinin bir hafta içinde aynı makineye dağıtıldığını bulan bilgi güvenliği araştırmacılarının gözlemlerinden kaynaklanmaktadır. Sıfırdan özel fidye yazılımı geliştirmenin zorluklarıyla karşı karşıya kalan CosmicBeetle, LockBit'in itibarından yararlanmaya çalışmış gibi görünüyor. Bu strateji, fidye yazılımlarındaki kusurları gizlemek ve kurbanların fidye ödeme olasılığını artırmak için tasarlanmış olabilir.
Fidye Yazılımı Operatörleri Zararlı Araçlarını Güncelliyor
Temmuz 2024'ten bu yana, Cicada3301 Ransomware (Repellent Scorpius olarak da bilinir) ile ilişkili tehdit aktörlerinin şifreleyicilerinin güncellenmiş bir sürümünü kullandıkları gözlemlendi. Bu yeni sürüm, şifreleyicinin sisteme bir fidye notu yazmasını engelleyen bir komut satırı argümanı olan --no-note'u içerir.
Ek olarak, güncellenen şifreleyici artık ikili dosyada sabit kodlanmış kullanıcı adları veya parolalar içermiyor. Ancak, Morphisec tarafından yakın zamanda not edilen bir teknik olan mevcut kimlik bilgilerini kullanarak PsExec'i çalıştırabilir. İlginç bir şekilde, bilgi güvenliği araştırmacıları, grubun Cicada3301 adı altında faaliyet göstermeden önce gerçekleşen eski ihlallerden gelen verilere sahip olabileceğini düşündüren kanıtlar tespit ettiler.
Bu durum, tehdit aktörünün daha önce farklı bir fidye yazılımı markası altında faaliyet göstermiş olma veya diğer fidye yazılımı gruplarından veri edinmiş olma olasılığını artırıyor.
