ScRansom Ransomware
L'acteur malveillant connu sous le nom de CosmicBeetle a introduit une nouvelle variante de ransomware personnalisée appelée ScRansom, ciblant spécifiquement les petites et moyennes entreprises (PME) en Europe, en Asie, en Afrique et en Amérique du Sud. En outre, CosmicBeetle est soupçonné d'agir en tant qu'affilié du groupe RansomHub .
CosmicBeetle, qui utilisait auparavant le ransomware Scarab , a maintenant adopté ScRansom, qui est en cours de développement. Bien qu'il ne soit pas à la pointe de la sophistication des ransomwares, le groupe a néanmoins réussi à compromettre des cibles notables.
Table des matières
CosminBeetle cible un ensemble diversifié de secteurs
Les attaques ScRansom ont ciblé un large éventail de secteurs, notamment l’industrie manufacturière, l’industrie pharmaceutique, le secteur juridique, l’éducation, la santé, la technologie, l’hôtellerie, les loisirs, les services financiers et les gouvernements régionaux.
CosmicBeetle, également connu sous le nom de NONAME, est surtout connu pour sa boîte à outils menaçante, Spacecolon, qui a déjà été utilisée pour diffuser le ransomware Scarab aux victimes du monde entier. Le groupe est également connu pour avoir expérimenté le générateur LockBit qui a fuité, en tentant d'usurper l'identité du célèbre groupe LockBit Ransomware dans des notes de rançon et sur des sites de fuite dès novembre 2023.
L'identité et l'origine des assaillants restent floues. Une théorie antérieure, aujourd'hui considérée comme peu probable, suggérait qu'ils pourraient être d'origine turque en raison d'une méthode de chiffrement personnalisée trouvée dans un autre outil appelé ScHackTool.
De multiples vulnérabilités exploitées par les cybercriminels
Des chaînes d'attaque ont été observées exploitant des attaques par force brute et plusieurs vulnérabilités de sécurité connues (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 et CVE-2023-27532) pour pénétrer les environnements cibles.
Les intrusions impliquent également l'utilisation de divers outils tels que Reaper, Darkside et RealBlindingEDR pour mettre fin aux processus de sécurité et éviter la détection avant de déployer le ransomware ScRansom basé sur Delphi. ScRansom propose un cryptage partiel pour accélérer le processus de cryptage et comprend un mode « ERASE » qui écrase les fichiers avec une valeur constante, les rendant irrécupérables.
Lien possible avec RansomHub
Le lien avec RansomHub est le fruit d'observations effectuées par des chercheurs en sécurité informatique qui ont découvert que les charges utiles ScRansom et RansomHub étaient déployées sur la même machine en une semaine. Face aux défis que pose le développement de ransomwares personnalisés à partir de zéro, CosmicBeetle semble avoir tenté de tirer parti de la réputation de LockBit. Cette stratégie pourrait avoir pour but de masquer les failles de leur ransomware et d'améliorer la probabilité que les victimes paient la rançon.
Les opérateurs de ransomware mettent à jour leurs outils malveillants
Depuis juillet 2024, des acteurs malveillants associés au ransomware Cicada3301 (également connu sous le nom de Repellent Scorpius) ont été observés utilisant une version mise à jour de leur crypteur. Cette nouvelle version inclut un argument de ligne de commande, --no-note, qui empêche le crypteur d'écrire une note de rançon sur le système.
De plus, le crypteur mis à jour ne contient plus de noms d’utilisateur ou de mots de passe codés en dur dans le binaire. Cependant, il peut toujours exécuter PsExec en utilisant les informations d’identification existantes, une technique récemment remarquée par Morphisec. Curieusement, les chercheurs en sécurité informatique ont détecté des preuves suggérant que le groupe pourrait posséder des données provenant d’anciens compromissions survenues avant qu’ils n’opèrent sous le nom de Cicada3301.
Cela augmente les chances que l’acteur de la menace ait déjà opéré sous une autre marque de ransomware ou acquis des données auprès d’autres groupes de ransomware.
