ScRansom 勒索軟體

名為 CosmicBeetle 的威脅行為者推出了一種名為 ScRansom 的新客製化勒索軟體變體，專門針對歐洲、亞洲、非洲和南美洲的中小企業 (SMB)。此外，CosmicBeetle 涉嫌充當RansomHub組織的附屬機構。

CosmicBeetle 之前使用Scarab Ransomware ，現在已過渡到 ScRansom，該軟體正在持續開發中。儘管該組織並不處於勒索軟體複雜性的最前沿，但它仍然成功地破壞了值得注意的目標。

CosminBeetle 針對不同的行業

ScRansom 攻擊針對廣泛的行業，包括製造、製藥、法律、教育、醫療保健、科技、旅館、休閒、金融服務和地方政府。

CosmicBeetle（也稱為 NONAME）因其威脅工具包 Spacecolon 而聞名，該工具包此前曾被用來向全球受害者發送 Scarab 勒索軟體。據了解，該組織早在 2023 年 11 月就曾嘗試使用外洩的 LockBit 建置器，試圖在勒索票據和外洩網站上冒充臭名昭著的LockBit 勒索軟體組織。

襲擊者的身分和來源仍不清楚。較早的理論（現在被認為不太可能）表明，由於在另一個名為 SchHackTool 的工具中發現了自訂加密方法，它們可能源自土耳其。

網路犯罪分子利用的多個漏洞

已觀察到攻擊鏈利用暴力攻擊和多個已知安全漏洞（CVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475 和 CVE-2023） -27532）滲透目標環境。

入侵還涉及利用 Reaper、 Darkside和 RealBlindingEDR 等各種工具來終止安全進程並在部署基於 Delphi 的 ScRansom 勒索軟體之前避免偵測。 ScRansom 具有部分加密功能，可加速加密過程，並包含「擦除」模式，可使用恆定值覆寫文件，使其無法復原。

與 RansomHub 的可能連接

與 RansomHub 的連結源自於資訊安全研究人員的觀察，他們發現 ScRansom 和 RansomHub 有效負載在一周內部署在同一台電腦上。面對從頭開始開發客製化勒索軟體的挑戰，CosmicBeetle 似乎試圖利用 LockBit 的聲譽。此策略可能旨在掩蓋勒索軟體中的缺陷並提高受害者支付贖金的可能性。

勒索軟體業者更新了他們的有害工具

自 2024 年 7 月以來，已觀察到與Cicada3301 勒索軟體（也稱為 Repellent Scorpius）相關的威脅行為者使用其加密器的更新版本。這個新版本包括一個命令列參數 --no-note，它可以防止加密器向系統寫入勒索訊息。

此外，更新後的加密器在二進位檔案中不再包含硬編碼的使用者名稱或密碼。但是，它仍然可以使用現有憑證執行 PsExec，這是 Morphisec 最近指出的一項技術。有趣的是，資訊安全研究人員發現的證據表明，該組織可能擁有在他們以 Cicada3301 為名進行操作之前發生的較早的妥協數據。

這增加了威脅行為者之前可能在不同勒索軟體品牌下運行或從其他勒索軟體組織獲取數據的可能性。