- Spacecolon est un ensemble d'outils utilisé pour déployer des variantes du rançongiciel Scarab aux victimes du monde entier.
- ESET Research pense qu'il est d'origine turque.
- Les opérateurs de Spacecolon, nommés CosmicBeetle par ESE, n'ont pas de ciblage précis.
- ESET détecte une forte activité de ce groupe dans les pays européens, en Turquie et au Mexique.
- Spacecolon peut servir de cheval de Troie pour permettre l'accès à distance, avec la capacité d'extraire des informations sensibles et / ou de déployer Scarab ransomware.
- CosmicBeetle compromet probablement les serveurs Web vulnérables à la faille ZeroLogon ou les serveurs dont l'identification RDP peut être devinée par force brute.
- CosmicBeetle semble préparer la distribution de nouveaux ransomwares que nous avons nommés ScRansom.
BRATISLAVA, PRAGUE - 22 août 2023 - ESET Research a publié son analyse de Spacecolon, un ensemble d'outils utilisé pour déployer des variantes du rançongiciel Scarab aux victimes du monde entier. Il pénètre probablement dans les organisations victimes par le biais de cyber criminels compromettant des serveurs Web vulnérables ou via des informations d'identification RDP découvertes par force brute. De nombreuses versions de Spacecolon présentent un grand nombre de chaînes de texte en turc, ce qui conduit ESET à penser qu'il a été développé par un programmeur dont la langue maternelle est le turc. ESET a pu retracer les origines de Spacecolon au moins jusqu'en mai 2020 et des campagnes sont en cours actuellement. ESET a nommé les opérateurs de Spacecolon CosmicBeetle pour représenter le lien avec « l'espace » et « scarabée ».
Les incidents attribués à Spacecolon et identifiés par la télémétrie ESET s’étendent au monde entier, avec une prévalence élevée dans les pays de l'Union européenne, tels que l'Espagne, la France, la Belgique, la Pologne et la Hongrie ; ailleurs, ESET a détecté une présence élevée en Turquie et au Mexique. Après la compromission de la victime, en plus de l'installation de ransomware, Spacecolon offre une grande variété d'outils qui permettent aux attaquants de désactiver les produits de sécurité, d'extraire des informations sensibles et d'obtenir des accès supplémentaires. La charge utile finale déployée par CosmicBeetle est une variante du rançongiciel Scarab. Cette variante déploie en interne un ClipBanker, un malware qui surveille le contenu du presse-papiers et modifie le contenu qu'il juge susceptible d'être une adresse de portefeuille de crypto-monnaie en une adresse contrôlée par un attaquant.
Pour aller encore plus loin, CosmicBeetle semble préparer la distribution de nouveaux ransomwares - ScRansom.
« Nous n'avons détecté aucune caractéristique spécifique parmi les victimes de Spacecolon, à l'exception de leur vulnérabilité face aux méthodes initiales d'accès utilisées par CosmicBeetle. Nous n'avons pas non plus trouvé de tendance parmi les domaines d’activité ou la taille des cibles. Cependant, pour n'en nommer que quelques-uns (par type et géographie), nous avons observé Spacecolon dans un hôpital et une station touristique en Thaïlande, une compagnie d'assurance en Israël, une institution gouvernementale locale en Pologne, un fournisseur de divertissement au Brésil, une société environnementale en Turquie et une école au Mexique », explique Jakub Souček, chercheur à ESET, auteur de l'analyse.
En outre, une nouvelle famille de ransomwares est en cours de développement, avec des échantillons téléchargés sur VirusTotal depuis la Turquie. ESET Research croit avec une grande confiance qu'il est écrit par les mêmes développeurs que Spacecolon, et ESET l'a nommé ScRansom. ScRansom tente de chiffrer tous les disques durs, amovibles et distants. ESET n'a pas observé ce rançongicielen cours de déploiement dans la nature, et il semble être encore en phase de développement.
Pour plus d'informations techniques sur Spacecolon et CosmicBeetle, consultez le blog « Scarabs colonizing vulnerable servers » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.
Répartition des victimes du groupe Spacecolon
Laura PACCAGNELLA - +33 01 55 89 08 88 - laura.p@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.