ScRansom Erpressersoftware
Der Bedrohungsakteur CosmicBeetle hat eine neue, maßgeschneiderte Ransomware-Variante namens ScRansom eingeführt, die speziell auf kleine und mittlere Unternehmen (KMU) in Europa, Asien, Afrika und Südamerika abzielt. Darüber hinaus wird CosmicBeetle verdächtigt, als Partner der RansomHub- Gruppe zu agieren.
CosmicBeetle verwendete zuvor die Scarab Ransomware und ist nun auf ScRansom umgestiegen, das derzeit weiterentwickelt wird. Obwohl die Gruppe nicht an der Spitze der raffiniertesten Ransomware-Programme steht, ist es ihr dennoch gelungen, nennenswerte Ziele zu kompromittieren.
Inhaltsverzeichnis
CosminBeetle zielt auf eine Vielzahl von Sektoren ab
ScRansom-Angriffe zielten auf eine breite Palette von Branchen ab, darunter Fertigung, Pharmazie, Recht, Bildung, Gesundheitswesen, Technologie, Gastgewerbe, Freizeit, Finanzdienstleistungen und Regionalregierungen.
CosmicBeetle, auch bekannt als NONAME, ist vor allem für sein bedrohliches Toolkit Spacecolon bekannt, das zuvor verwendet wurde, um die Scarab Ransomware an Opfer weltweit zu verbreiten. Die Gruppe experimentierte auch mit dem durchgesickerten LockBit-Builder und versuchte bereits im November 2023, sich in Lösegeldforderungen und auf Leak-Sites als die berüchtigte LockBit-Ransomware- Gruppe auszugeben.
Identität und Herkunft der Angreifer bleiben unklar. Eine frühere Theorie, die mittlerweile als unwahrscheinlich gilt, ging davon aus, dass sie türkischer Herkunft sein könnten, da in einem anderen Tool namens ScHackTool eine benutzerdefinierte Verschlüsselungsmethode gefunden wurde.
Zahlreiche Schwachstellen werden von Cyberkriminellen ausgenutzt
Es wurden Angriffsketten beobachtet, die Brute-Force-Angriffe und mehrere bekannte Sicherheitslücken (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 und CVE-2023-27532) ausnutzten, um in Zielumgebungen einzudringen.
Bei den Angriffen kommen auch verschiedene Tools wie Reaper, Darkside und RealBlindingEDR zum Einsatz, um Sicherheitsprozesse zu beenden und eine Erkennung zu verhindern, bevor die Delphi-basierte ScRansom-Ransomware eingesetzt wird. ScRansom bietet eine Teilverschlüsselung, um den Verschlüsselungsprozess zu beschleunigen, und enthält einen „ERASE“-Modus, der Dateien mit einem konstanten Wert überschreibt und sie somit nicht wiederherstellbar macht.
Mögliche Verbindung zu RansomHub
Die Verbindung zu RansomHub ergibt sich aus Beobachtungen von Infosec-Forschern, die innerhalb einer Woche ScRansom- und RansomHub-Payloads auf derselben Maschine installiert fanden. Angesichts der Herausforderungen, von Grund auf maßgeschneiderte Ransomware zu entwickeln, scheint CosmicBeetle versucht zu haben, den Ruf von LockBit auszunutzen. Diese Strategie soll möglicherweise die Fehler in ihrer Ransomware verschleiern und die Wahrscheinlichkeit erhöhen, dass die Opfer das Lösegeld zahlen.
Ransomware-Betreiber aktualisieren ihre schädlichen Tools
Seit Juli 2024 wird beobachtet, dass Bedrohungsakteure im Zusammenhang mit der Cicada3301 Ransomware (auch bekannt als Repellent Scorpius) eine aktualisierte Version ihres Verschlüsselers verwenden. Diese neue Version enthält ein Befehlszeilenargument, --no-note, das verhindert, dass der Verschlüsseler eine Lösegeldforderung an das System schreibt.
Darüber hinaus enthält der aktualisierte Verschlüsseler keine fest codierten Benutzernamen oder Passwörter mehr in der Binärdatei. Er kann PsExec jedoch immer noch mit vorhandenen Anmeldeinformationen ausführen, eine Technik, die Morphisec kürzlich festgestellt hat. Interessanterweise haben Infosec-Forscher Hinweise darauf gefunden, dass die Gruppe möglicherweise Daten aus älteren Angriffen besitzt, die stattfanden, bevor sie unter dem Namen Cicada3301 operierten.
Dadurch steigt die Wahrscheinlichkeit, dass der Bedrohungsakteur zuvor unter einer anderen Ransomware-Marke aktiv war oder Daten von anderen Ransomware-Gruppen erworben hat.
