ScRansom Ransomware
Зловмисник, відомий як CosmicBeetle, представив новий спеціальний варіант програми-вимагача під назвою ScRansom, спеціально націлений на малий і середній бізнес (SMB) у Європі, Азії, Африці та Південній Америці. Крім того, CosmicBeetle підозрюють у діяльності як філія групи RansomHub .
CosmicBeetle, який раніше використовував програмне забезпечення-вимагач Scarab , тепер перейшов на ScRansom, який знаходиться на стадії розробки. Незважаючи на те, що група не є лідером у розробці програм-вимагачів, їй все ж вдалося скомпрометувати варті уваги цілі.
Зміст
CosminBeetle націлений на різноманітний набір секторів
Атаки ScRansom спрямовані на широкий спектр секторів, включаючи виробництво, фармацевтику, юридичний сектор, освіту, охорону здоров’я, технології, гостинність, дозвілля, фінансові послуги та регіональні органи влади.
CosmicBeetle, також відомий як NONAME, найбільш відомий своїм загрозливим набором інструментів Spacecolon, який раніше використовувався для доставки Scarab Ransomware жертвам у всьому світі. Відомо також, що група експериментувала з розкритим конструктором LockBit, намагаючись видати себе за сумнозвісну групу програм-вимагачів LockBit у повідомленнях про викуп і на сайтах витоку інформації ще в листопаді 2023 року.
Особи та походження нападників залишаються невідомими. Попередня теорія, яка зараз вважається малоймовірною, припускала, що вони можуть бути турецького походження через спеціальний метод шифрування, знайдений в іншому інструменті під назвою ScHackTool.
Численні вразливості, якими користуються кіберзлочинці
Були виявлені ланцюжки атак, які використовували атаки грубої сили та кілька відомих уразливостей безпеки (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 та CVE-2023 -27532) для проникнення в цільове середовище.
Вторгнення також передбачають використання різноманітних інструментів, таких як Reaper, Darkside та RealBlindingEDR, щоб припинити процеси безпеки та уникнути виявлення перед розгортанням ScRansom Ransomware на основі Delphi. ScRansom підтримує часткове шифрування для прискорення процесу шифрування та включає режим «СТИРАННЯ», який перезаписує файли з постійним значенням, роблячи їх неможливими для відновлення.
Можливе підключення до RansomHub
Зв’язок із RansomHub випливає зі спостережень дослідників інформаційної безпеки, які виявили, що корисні навантаження ScRansom і RansomHub розгорнуті на одній машині протягом тижня. Зіштовхнувшись із проблемами розробки спеціальних програм-вимагачів з нуля, CosmicBeetle, схоже, намагався використати репутацію LockBit. Ця стратегія може бути призначена для приховування недоліків у програмі-вимагачі та підвищення ймовірності того, що жертви заплатять викуп.
Оператори програм-вимагачів оновлюють свої шкідливі інструменти
З липня 2024 року спостерігали за загрозами, пов’язаними з програмою-вимагачем Cicada3301 (також відомою як Repellent Scorpius), яка використовувала оновлену версію свого шифрувальника. Ця нова версія містить аргумент командного рядка --no-note, який не дозволяє шифрувальнику писати в систему повідомлення про викуп.
Крім того, оновлений шифрувальник більше не містить жорстко закодованих імен користувачів або паролів у двійковому файлі. Однак він все ще може виконувати PsExec, використовуючи наявні облікові дані, техніку, нещодавно відзначену Morphisec. Інтригуюче те, що дослідники інформаційної безпеки виявили докази того, що група може володіти даними зі старих компрометацій, які відбулися до того, як вони діяли під назвою Cicada3301.
Це підвищує ймовірність того, що зловмисник міг раніше працювати під іншим брендом програм-вимагачів або отримати дані від інших груп програм-вимагачів.
