ScRansom Ransomware
Kẻ tấn công được biết đến với cái tên CosmicBeetle đã giới thiệu một biến thể ransomware tùy chỉnh mới có tên là ScRansom, nhắm mục tiêu cụ thể vào các doanh nghiệp vừa và nhỏ (SMB) trên khắp Châu Âu, Châu Á, Châu Phi và Nam Mỹ. Ngoài ra, CosmicBeetle bị nghi ngờ hoạt động như một chi nhánh của nhóm RansomHub .
Trước đây sử dụng Scarab Ransomware , CosmicBeetle hiện đã chuyển sang ScRansom, hiện đang trong quá trình phát triển. Mặc dù không phải là nhóm tiên phong về độ tinh vi của ransomware, nhưng nhóm này vẫn có thể xâm nhập vào các mục tiêu đáng chú ý.
Mục lục
CosminBeetle nhắm mục tiêu vào một nhóm các ngành đa dạng
Các cuộc tấn công ScRansom nhắm vào nhiều lĩnh vực, bao gồm sản xuất, dược phẩm, pháp lý, giáo dục, chăm sóc sức khỏe, công nghệ, khách sạn, giải trí, dịch vụ tài chính và chính quyền khu vực.
CosmicBeetle, còn được gọi là NONAME, được biết đến nhiều nhất với bộ công cụ đe dọa của nó, Spacecolon, trước đây được sử dụng để phân phối Scarab Ransomware cho các nạn nhân trên toàn thế giới. Nhóm này cũng được biết đến là đã thử nghiệm với trình xây dựng LockBit bị rò rỉ, cố gắng mạo danh nhóm LockBit Ransomware khét tiếng trong các ghi chú đòi tiền chuộc và trên các trang web bị rò rỉ sớm nhất là vào tháng 11 năm 2023.
Danh tính và nguồn gốc của những kẻ tấn công vẫn chưa rõ ràng. Một giả thuyết trước đó, hiện được coi là không có khả năng xảy ra, cho rằng chúng có thể có nguồn gốc từ Thổ Nhĩ Kỳ do phương pháp mã hóa tùy chỉnh được tìm thấy trong một công cụ khác có tên là ScHackTool.
Nhiều lỗ hổng bị tội phạm mạng khai thác
Các chuỗi tấn công đã được quan sát thấy khai thác các cuộc tấn công bằng cách dùng vũ lực và một số lỗ hổng bảo mật đã biết (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 và CVE-2023-27532) để xâm nhập vào môi trường mục tiêu.
Các cuộc xâm nhập cũng liên quan đến việc sử dụng nhiều công cụ khác nhau như Reaper, Darkside và RealBlindingEDR để chấm dứt các quy trình bảo mật và tránh bị phát hiện trước khi triển khai ScRansom Ransomware dựa trên Delphi. ScRansom có tính năng mã hóa một phần để tăng tốc quá trình mã hóa và bao gồm chế độ 'ERASE' ghi đè lên các tệp có giá trị không đổi, khiến chúng không thể khôi phục được.
Kết nối có thể đến RansomHub
Liên kết đến RansomHub xuất phát từ quan sát của các nhà nghiên cứu bảo mật thông tin, những người đã tìm thấy các tải trọng ScRansom và RansomHub được triển khai trên cùng một máy trong vòng một tuần. Đối mặt với những thách thức trong việc phát triển phần mềm tống tiền tùy chỉnh từ đầu, CosmicBeetle dường như đã cố gắng tận dụng danh tiếng của LockBit. Chiến lược này có thể nhằm mục đích che giấu các lỗi trong phần mềm tống tiền của họ và cải thiện khả năng nạn nhân sẽ trả tiền chuộc.
Những kẻ điều hành Ransomware cập nhật các công cụ gây hại của chúng
Kể từ tháng 7 năm 2024, các tác nhân đe dọa liên quan đến Cicada3301 Ransomware (còn được gọi là Repellent Scorpius) đã được phát hiện sử dụng phiên bản cập nhật của trình mã hóa của chúng. Phiên bản mới này bao gồm một đối số dòng lệnh --no-note, ngăn trình mã hóa ghi ghi chú đòi tiền chuộc vào hệ thống.
Ngoài ra, trình mã hóa được cập nhật không còn chứa tên người dùng hoặc mật khẩu được mã hóa cứng trong tệp nhị phân. Tuy nhiên, nó vẫn có thể thực thi PsExec bằng thông tin xác thực hiện có, một kỹ thuật gần đây được Morphisec ghi nhận. Điều thú vị là các nhà nghiên cứu bảo mật thông tin đã phát hiện ra bằng chứng cho thấy nhóm này có thể sở hữu dữ liệu từ các vụ xâm phạm cũ hơn xảy ra trước khi chúng hoạt động dưới tên Cicada3301.
Điều này làm tăng khả năng kẻ tấn công có thể đã từng hoạt động dưới một thương hiệu ransomware khác hoặc lấy dữ liệu từ các nhóm ransomware khác.
