ScRansom 勒索软件

名为 CosmicBeetle 的威胁行为者推出了一种名为 ScRansom 的新型定制勒索软件变种，专门针对欧洲、亚洲、非洲和南美洲的中小型企业 (SMB)。此外，CosmicBeetle 还被怀疑是RansomHub组织的附属机构。

CosmicBeetle 之前使用的是Scarab 勒索软件，现在已过渡到 ScRansom，该软件正在不断开发中。尽管该组织并非勒索软件复杂程度的先锋，但仍成功攻陷了值得关注的目标。

CosminBeetle 瞄准多个领域

ScRansom 攻击针对的是广泛的领域，包括制造业、制药业、法律业、教育业、医疗保健业、技术业、酒店业、休闲业、金融服务业和地方政府。

CosmicBeetle，又名 NONAME，以其威胁工具包 Spacecolon 而闻名，该工具包曾用于向全球受害者传播 Scarab 勒索软件。该组织还曾尝试使用泄露的 LockBit 构建器，早在 2023 年 11 月就试图在勒索信和泄密网站上冒充臭名昭著的LockBit 勒索软件组织。

攻击者的身份和来源尚不清楚。之前有一种理论认为，他们可能来自土耳其，因为在另一种名为 ScHackTool 的工具中发现了一种自定义加密方法，但现在认为这种理论不太可能。

网络犯罪分子利用的多个漏洞

据观察，攻击链利用暴力攻击和几个已知的安全漏洞（CVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475 和 CVE-2023-27532）来渗透目标环境。

入侵还涉及使用各种工具（如 Reaper、 Darkside和 RealBlindingEDR）来终止安全进程并避免在部署基于 Delphi 的 ScRansom 勒索软件之前被发现。ScRansom 具有部分加密功能以加速加密过程，并包含“ERASE”模式，该模式用常量值覆盖文件，使其无法恢复。

可能与 RansomHub 有关

与 RansomHub 的联系源于信息安全研究人员的观察，他们发现 ScRansom 和 RansomHub 有效载荷在一周内部署在同一台机器上。面对从头开发定制勒索软件的挑战，CosmicBeetle 似乎试图利用 LockBit 的声誉。这一策略可能旨在掩盖勒索软件的缺陷，并提高受害者支付赎金的可能性。

勒索软件运营商更新其有害工具

自 2024 年 7 月以来，与Cicada3301 勒索软件（也称为 Repellent Scorpius）相关的威胁行为者被发现使用其加密器的更新版本。此新版本包含一个命令行参数 --no-note，可防止加密器向系统写入勒索信。

此外，更新后的加密器不再包含二进制文件中的硬编码用户名或密码。但是，它仍然可以使用现有凭据执行 PsExec，这是 Morphisec 最近注意到的一种技术。有趣的是，信息安全研究人员发现有证据表明，该组织可能拥有在以 Cicada3301 名义运作之前发生的旧入侵数据。

这增加了威胁行为者可能之前曾在不同的勒索软件品牌下运作或从其他勒索软件组织获取数据的可能性。