Οι ερευνητές της ESET χαρτογράφησαν τις πρόσφατες δραστηριότητες της εγκληματικής ομάδας CosmicBeetle και βρήκαν ότι η ομάδα χρησιμοποιεί ένα νέο κακόβουλο λογισμικό, το ScRansom καθώς και ότι συνεργάζεται με άλλες συμμορίες ransomware.
Η CosmicBeetle έχει διασπείρει ransomware σε μικρές και μεσαίες επιχειρήσεις (ΜΜΕ), κυρίως στην Ευρώπη και την Ασία. Η έρευνα της ESET παρατήρησε ότι η συγκεκριμένη συμμορία χρησιμοποιεί τον code builder του LockBit και προσπαθεί να αξιοποιήσει τη φήμη της εγκληματικής ομάδας LockBit. Εκτός από την ομάδα LockBit, η ESET πιστεύει ότι η ομάδα CosmicBeetle πιθανότατα συνεργάζεται με την ομάδα RansomHub, μια νέα συμμορία ransomware που δραστηριοποιείται από τον Μάρτιο του 2024 με ραγδαία αυξανόμενη δραστηριότητα.
«Πιθανά η CosmicBeetle να αντιμετώπισε δυσκολίες στο να δημιουργήσει το δικό της ransomware από το μηδέν, και έτσι προσπάθησε να εκμεταλλευτεί τη φήμη της ομάδας LockBit. Αυτό το έκανε ενδεχομένως για να καλύψει τα προβλήματα στο ransomware της και να αυξήσει την πιθανότητα να πληρώσουν τα θύματα», αναφέρει ο ερευνητής της ESET Jakub Souček, ο οποίος ανέλυσε την τελευταία δραστηριότητα της CosmicBeetle. «Επιπλέον, πρόσφατα, παρατηρήσαμε την ανάπτυξη κακόβουλου λογισμικού ScRansom και RansomHub στο ίδιο μηχάνημα με διαφορά μόλις μιας εβδομάδας. Αυτή η εκτέλεση του RansomHub ήταν πολύ ασυνήθιστη σε σύγκριση με τις τυπικές περιπτώσεις που έχουμε δει στην τηλεμετρία της ESET, αλλά αρκετά παρόμοια με τον τρόπο λειτουργίας της ομάδας CosmicBeetle. Δεδομένου ότι δεν υπάρχουν δημόσιες διαρροές του RansomHub, αυτό μας οδηγεί στο να είμαστε σχεδόν βέβαιοι ότι η CosmicBeetle μπορεί να συνεργάζεται μαζί τους», προσθέτει ο Souček.
Η ομάδα CosmicBeetle χρησιμοποιεί συχνά μεθόδους brute-force για να παραβιάσει τους στόχους της. Εκτός από αυτό, κάνει κατάχρηση διαφόρων γνωστών ευπαθειών. Οι μικρές και μεσαίες επιχειρήσεις σε όλο τον κόσμο είναι τα πιο συνηθισμένα θύματα αυτού του απειλητικού παράγοντα, επειδή είναι πιο πιθανό να χρησιμοποιούν το προσβεβλημένο λογισμικό ή να μην διαθέτουν διαδικασίες διαχείρισης επιδιορθώσεων. Η ESET Research έχει παρατηρήσει επιθέσεις σε μικρομεσαίες επιχειρήσεις στους ακόλουθους τομείς: μεταποίηση, φαρμακευτική βιομηχανία, νομικές υπηρεσίες, εκπαίδευση, υγειονομική περίθαλψη, τεχνολογία, φιλοξενία αναψυχή, χρηματοπιστωτικές υπηρεσίες και τοπική αυτοδιοίκηση.
Εκτός από την κρυπτογράφηση, το κακόβουλο λογισμικό ScRansom μπορεί επίσης να τερματίσει διάφορες διεργασίες και υπηρεσίες στον επηρεαζόμενο υπολογιστή. Το ScRansom δεν είναι ένα πολύ εξελιγμένο λογισμικό ransomware, αν και η CosmicBeetle έχει καταφέρει να θέσει σε κίνδυνο σημαντικούς στόχους και να τους προκαλέσει μεγάλη ζημιά. Αυτό οφείλεται κυρίως στο γεγονός ότι η ομάδα CosmicBeetle είναι καινούργια στον κόσμο του ransomware, ενώ προβλήματα ταλαιπωρούν την ανάπτυξη του κακόβουλου λογισμικού ScRansom. Τα θύματα που επηρεάζονται από το ScRansom, τα οποία αποφασίζουν να πληρώσουν, θα πρέπει να είναι προσεκτικά.
Η ESET Research κατάφερε να αποκτήσει ένα πρόγραμμα που μπορεί να αποκρυπτογραφήσει τα αρχεία. Το ScRansom βρίσκεται σε συνεχή εξέλιξη, κάτι που δεν είναι ποτέ καλό σημάδι για ransomware. Η υπερβολική πολυπλοκότητα της διαδικασίας κρυπτογράφησης (και αποκρυπτογράφησης) είναι επιρρεπής σε σφάλματα, καθιστώντας αμφίβολη την αποκατάσταση όλων των αρχείων. Η επιτυχής αποκρυπτογράφηση εξαρτάται από τη σωστή λειτουργία του προγράμματος και από την παροχή όλων των απαραίτητων κλειδιών από την ομάδα CosmicBeetle, και ακόμη και σε αυτή την περίπτωση, ορισμένα αρχεία ενδέχεται να καταστραφούν οριστικά. Ακόμη και στην καλύτερη περίπτωση, η αποκρυπτογράφηση είναι χρονοβόρα και περίπλοκη.
CosmicBeetle είναι το όνομα που οι ερευνητές της ESET απέδωσαν σε μια εγκληματική ομάδα που εντοπίστηκε το 2023. Αυτός ο κακόβουλος παράγοντας είναι περισσότερο γνωστός για τη χρήση της προσαρμοσμένης συλλογής εργαλείων Delphi, που συνήθως ονομάζεται Spacecolon και αποτελείται από τα ScHackTool, ScInstaller, ScService και ScPatcher.
Για περισσότερες τεχνικές πληροφορίες σχετικά με την τελευταία δραστηριότητα της ομάδας CosmicBeetle, ανατρέξτε στο blogpost CosmicBeetle steps up: Probation period at RansomHub στο WeLiveSecurity.com. Βεβαιωθείτε ότι ακολουθείτε την ESET Research στο Twitter (σήμερα γνωστό ως X) για τα τελευταία νέα.
Χάρτης των επιθέσεων της CosmicBeetle από τον Αύγουστο του 2023, σύμφωνα με την τηλεμετρία της ESET