Hrozba známá jako CosmicBeetle představila nový vlastní ransomware s názvem ScRansom v útocích zaměřených na malé a střední podniky (SMB) v Evropě, Asii, Africe a Jižní Americe, přičemž pravděpodobně také pracuje jako partner pro RansomHub.

Cíle útoků ScRansom zahrnují výrobní, farmaceutický, právní, vzdělávací, zdravotnický, technologický, pohostinský, rekreační, finanční služby a regionální vládní sektory.

CosmicBeetle je nejlépe známý pro škodlivou sadu nástrojů zvanou Spacecolon, která byla dříve identifikována jako používaná pro doručování ransomwaru Scarab napříč oběťmi po celém světě.

Také známý jako NONAME, protivník má historii experimentování s uniklým nástrojem LockBit builder ve snaze vydávat se za nechvalně známou ransomware skupinu ve svých výkupných poznámkách a na únikových stránkách již od listopadu 2023.

V současné době není jasné, kdo stojí za útokem nebo odkud pochází, ačkoli dřívější hypotéza naznačovala, že by mohli být tureckého původu kvůli přítomnosti vlastního šifrovacího schématu použitého v jiném nástroji jménem ScHackTool. ESET však podezřívá, že toto přisouzení již neplatí.

Řetězce útoků byly pozorovány, jak využívají útoky hrubou silou a známé bezpečnostní chyby (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 a CVE-2023-27532) k infiltraci cílových prostředí.

Proniknutí dále zahrnuje použití různých nástrojů jako Reaper, Darkside a RealBlindingEDR k ukončení procesů souvisejících s bezpečností, aby se předešlo detekci před nasazením ransomwaru ScRansom založeného na Delphi, který podporuje částečné šifrování pro urychlení procesu a režim „ERASE“ pro znepřístupnění souborů přepsáním konstantní hodnotou.

Spojení s RansomHub vyplývá ze skutečnosti, že slovenská kyberbezpečnostní společnost zaznamenala nasazení ScRansom a RansomHub payloadů na stejném stroji během jednoho týdne.

Zdroj: thehackernews.com