ESET découvre que le groupe CosmicBeetle s'associe à d'autres gangs de ransomwares et cible des entreprises en France

Prochain article
  • Les chercheurs d'ESET ont mené l’enquête sur ScRansom, un nouveau ransomware développé par le groupe CosmicBeetle.
  • CosmicBeetle a débuté avec les outils Lockbit qui ont fuité.
  • CosmicBeetle est probablement devenu récemment un affilié RansomHub
  • ScRansom est continuellement amélioré ; cependant, il est impossible de restaurer certains fichiers.
  • CosmicBeetle exploite des vulnérabilités vieilles de plusieurs années pour s'infiltrer dans les PME, en se concentrant sur l'Europe et l'Asie.

Les chercheurs d'ESET ont cartographié les activités récentes du groupe CosmicBeetle, documentant le déploiement de son nouveau ransomware ScRansom et découvrant des liens avec d'autres gangs de ransomwares bien établis. CosmicBeetle a diffusé ses ransomwares à des petites et moyennes entreprises (PME), principalement en Europe et en Asie. La recherche ESET met en évidence que l’outil de création de logiciels malveillant LockBit (divulgué) est utilisé. Le groupe tente même de surfer sur la réputation du ransomware LockBit. Outre LockBit, ESET pense que CosmicBeetle est probablement un nouvel affilié de l'acteur de « ransomware-as-a-service » RansomHub, un nouveau gang de ransomware actif depuis mars 2024 avec une activité en forte hausse.

« Probablement en raison des obstacles que présente l'écriture d'un ransomware personnalisé à partir de zéro, CosmicBeetle a tenté de profiter de la réputation de LockBit, peut-être pour masquer les problèmes de leur ransomware original et ainsi augmenter les chances que les victimes paient », déclare Jakub Souček, chercheur chez ESET, qui a analysé l'activité récente de CosmicBeetle. « De plus, récemment, nous avons observé le déploiement des charges utiles ScRansom et RansomHub sur la même machine à seulement une semaine d'intervalle. Cette exécution de RansomHub est très inhabituelle en comparaison des cas habituels que nous observons dans la télémétrie d'ESET, mais assez similaire au modus operandi de CosmicBeetle. Comme il n'y a pas de fuites publiques de RansomHub, cela nous porte à croire, avec une confiance moyenne, que CosmicBeetle pourrait être un affilié récent de leur groupe. », ajoute M. Souček.

CosmicBeetle utilise fréquemment la « brute force » pour s'infiltrer chez ses cibles. En plus de cela, il exploite diverses vulnérabilités connues. Les petites et moyennes entreprises de tous les secteurs (du monde entier) sont les victimes usuelles de cet acteur, car c'est le segment le plus susceptible d'utiliser les logiciels non mis à jour et de manquer de processus robustes de gestion des correctifs. ESET a observé des attaques sur des PME dans les secteurs suivants : fabrication, produits pharmaceutiques, juridique, éducation, santé, technologie, loisirs hôteliers, services financiers et administrations.

En plus de chiffrer, ScRansom peut également tuer divers processus et services sur la machine infectée. ScRansom n'est pas un ransomware très sophistiqué, bien que CosmicBeetle ait pu compromettre des cibles d’importance et leur causer des dommages importants. Cela s'explique principalement par le fait que CosmicBeetle est un acteur récent dans le monde du ransomware, et des problèmes affectent le déploiement de ScRansom. Les victimes touchées par ScRansom qui décident de payer devraient y réfléchir à plusieurs fois, il est probable que le paiement de la rançon ne leur permette pas de retrouver leurs fichiers.

ESET a pu obtenir un déchiffreur mis en œuvre par CosmicBeetle. ScRansom est en développement constant, ce qui n'est jamais un bon signe pour un ransomware. La complexité excessive du processus de chiffrement (et de déchiffrement) est sujette aux erreurs, rendant aléatoire la restauration des fichiers. Le succès de l’opération de déchiffrement dépend du bon fonctionnement du déchiffreur et de la fourniture par CosmicBeetle de toutes les clés nécessaires, et même dans ce cas, certains fichiers peuvent être détruits de façon irrémédiable. Même dans le meilleur des scénarios, le déchiffrement est long et compliqué.

Carte thermique des attaques de CosmicBeetle depuis août 2023, selon la télémétrie d'ESET.

Contact Presse :

Laura PACCAGNELLA : +33 01 55 89 08 88 -  laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/na 
et suivez-nous sur LinkedIn, Facebook et Instagram.