Компания ESET – лидер в области информационной безопасности – обнаружила новую программу-вымогатель ScRansom, которую распространяла группа киберпреступников CosmicBeetle среди малых и средних предприятий преимущественно в Европе и Азии. Кроме того, CosmicBeetle, вероятно, является частью новой группы программ-вымогателей RansomHub, активную с марта 2024 года, и предлагает программы-вымогатели как сервисы.
«Вероятно, из-за препятствий при создании программы-вымогателя с нуля, CosmicBeetle попыталась воспользоваться популярностью другой программы-вымогателя LockBit, возможно, чтобы замаскировать проблемы в базовой программе-вымогателе, и таким образом увеличить вероятность, что жертвы заплатят, — комментирует Якуб Соучек, исследователь ESET. — Кроме того, недавно мы зафиксировали развертывание компонентов ScRansom и RansomHub на одном устройстве с разницей в неделю. Это выполнение RansomHub было очень необычным по сравнению с типичными случаями, которые обнаружила телеметрия ESET, но похоже на способ действия CosmicBeetle. Поскольку публичные утечки информации о RansomHub отсутствуют, это наталкивает на мысль, что CosmicBeetle – это их новая часть».
CosmicBeetle часто использует метод подбора пароля для атак своих целей. Кроме того, киберпреступники используют разные известные уязвимости. Чаще всего жертвами этой угрозы становятся малые и средние предприятия из разных отраслей во всем мире, поскольку этот сегмент более вероятно использует не обновленное программное обеспечение или не имеет надежного управления исправлениями. В частности, исследователи ESET обнаружили атаки на компании в таких отраслях: производство, фармацевтика, юридический сектор, образование, здравоохранение, технологии, индустрия гостеприимства, финансовые услуги и региональные государственные учреждения.
Рис. 1. Карта атак CosmicBeetle с августа 2023 года по данным телеметрии ESET.
Помимо шифрования, угроза ScRansom может также прекращать различные процессы и службы на зараженной машине. ScRansom — довольно несложная программа-вымогатель, хотя группа CosmicBeetle смогла скомпрометировать интересные цели и нанести им большой вред. Это в основном потому, что CosmicBeetle является новым игроком в мире программ-вымогателей, при этом существуют проблемы с развертыванием ScRansom.
Исследователям ESET удалось получить дешифратор, реализованный CosmicBeetle для своей последней схемы шифрования. Сверхсложный процесс шифрования и дешифрования может привести к ошибкам, что делает сомнительным восстановление всех файлов. Успешное дешифрование зависит от правильной работы дешифратора и от того, предоставит ли CosmicBeetle все необходимые ключи. Хотя даже в этом случае злоумышленник может навсегда удалить некоторые файлы. Даже в лучшем случае дешифрование является долгим и сложным процессом.
Стоит отметить, что CosmicBeetle активна по меньшей мере с 2020 года. Эта угроза наиболее известна благодаря использованию специальной коллекции инструментов Delphi, известную как Spacecolon, которая состоит из ScHackTool, ScInstaller, ScService и ScPatcher.
Для предотвращения подобных атак и своевременного выявления любой вредоносной активности следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).