ScRansom Ransomware
El actor de amenazas conocido como CosmicBeetle ha presentado una nueva variante de ransomware personalizada llamada ScRansom, dirigida específicamente a pequeñas y medianas empresas (PYMES) en Europa, Asia, África y Sudamérica. Además, se sospecha que CosmicBeetle actúa como afiliado del grupo RansomHub .
CosmicBeetle, que anteriormente utilizaba el ransomware Scarab , ahora ha pasado a utilizar ScRansom, que se encuentra en desarrollo. Aunque no se encuentra a la vanguardia de la sofisticación del ransomware, el grupo ha logrado comprometer objetivos importantes.
Tabla de contenido
CosminBeetle se dirige a un conjunto diverso de sectores
Los ataques de ScRansom se han dirigido a una amplia gama de sectores, incluidos los de fabricación, farmacéutico, jurídico, educación, atención sanitaria, tecnología, hostelería, ocio, servicios financieros y gobiernos regionales.
CosmicBeetle, también conocido como NONAME, es más conocido por su conjunto de herramientas amenazantes, Spacecolon, que se utilizó anteriormente para enviar el ransomware Scarab a víctimas de todo el mundo. También se sabe que el grupo experimentó con el generador filtrado LockBit, intentando hacerse pasar por el notorio grupo LockBit Ransomware en notas de rescate y en sitios filtrados a partir de noviembre de 2023.
La identidad y el origen de los atacantes siguen sin estar claros. Una teoría anterior, que ahora se considera improbable, sugería que podrían ser de origen turco debido a un método de cifrado personalizado que se encuentra en otra herramienta llamada ScHackTool.
Múltiples vulnerabilidades explotadas por cibercriminales
Se han observado cadenas de ataque que explotan ataques de fuerza bruta y varias vulnerabilidades de seguridad conocidas (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 y CVE-2023-27532) para penetrar en entornos objetivo.
Las intrusiones también implican el uso de varias herramientas como Reaper, Darkside y RealBlindingEDR para terminar los procesos de seguridad y evitar la detección antes de implementar el ransomware ScRansom basado en Delphi. ScRansom cuenta con cifrado parcial para acelerar el proceso de cifrado e incluye un modo "BORRAR" que sobrescribe los archivos con un valor constante, haciéndolos irrecuperables.
Posible conexión con RansomHub
El vínculo con RansomHub surge de las observaciones de investigadores de seguridad informática que encontraron cargas útiles de ScRansom y RansomHub implementadas en la misma máquina en una semana. Ante los desafíos de desarrollar ransomware personalizado desde cero, CosmicBeetle parece haber intentado aprovechar la reputación de LockBit. Esta estrategia puede tener como objetivo ocultar fallas en su ransomware y mejorar la probabilidad de que las víctimas paguen el rescate.
Los operadores de ransomware actualizan sus herramientas dañinas
Desde julio de 2024, se ha observado que los actores de amenazas asociados con el ransomware Cicada3301 (también conocido como Repellent Scorpius) utilizan una versión actualizada de su cifrador. Esta nueva versión incluye un argumento de línea de comandos, --no-note, que impide que el cifrador escriba una nota de rescate en el sistema.
Además, el cifrador actualizado ya no contiene nombres de usuario ni contraseñas codificados en el binario. Sin embargo, aún puede ejecutar PsExec utilizando credenciales existentes, una técnica que Morphisec detectó recientemente. Curiosamente, los investigadores de seguridad informática han detectado evidencia que sugiere que el grupo puede poseer datos de ataques anteriores que ocurrieron antes de que operaran bajo el nombre Cicada3301.
Esto aumenta las posibilidades de que el actor de la amenaza haya operado previamente bajo una marca de ransomware diferente o haya adquirido datos de otros grupos de ransomware.
