- ESET Research onderzocht ScRansom, een nieuwe ransomware ontwikkeld door de CosmicBeetle dreigingsgroep.
- CosmicBeetle heeft geëxperimenteerd met de gelekte LockBit-bouwer en probeert het merk LockBit na te bootsen.
- Bovendien is CosmicBeetle waarschijnlijk recentelijk aangesloten bij de ransomware-as-a-service actor RansomHub, actief sinds maart 2024.
- ScRansom wordt voortdurend verbeterd; het is helaas niet mogelijk om sommige bestanden te herstellen.
- CosmicBeetle maakt gebruik van jaren oude kwetsbaarheden om in te breken in mkb's met een focus op Europa en Azië.
Sliedrecht, 10 september 2024 – ESET-onderzoekers hebben de recente activiteiten van de dreigersgroep CosmicBeetle in kaart gebracht. Ze hebben gedocumenteerd hoe de nieuwe ScRansomware wordt ingezet en hebben verbanden ontdekt met andere gevestigde ransomwarebendes. CosmicBeetle heeft ransomware verspreid onder het mkb, voornamelijk in Europa en Azië. ESET Research heeft gezien dat de dreigende actor de gelekte LockBit-bouwer gebruikt en probeert om de reputatie van LockBit op het gebied van ransomware uit te buiten. Naast LockBit is CosmicBeetle volgens ESET waarschijnlijk een nieuw filiaal van ransomware-as-a-service actor RansomHub, een nieuwe ransomware bende actief sinds maart 2024 met snel toenemende activiteit.
“Waarschijnlijk vanwege de obstakels die het 'from scratch’ schrijven van aangepaste ransomware met zich meebrengt, probeerde CosmicBeetle te profiteren van de reputatie van LockBit, mogelijk om de problemen in de onderliggende ransomware te maskeren en op zijn beurt de kans te vergroten dat slachtoffers zullen betalen,” zegt ESET-onderzoeker Jakub Souček, die de nieuwste activiteit van CosmicBeetle analyseerde. “Daarnaast hebben we onlangs de inzet van ScRansom en RansomHub payloads op dezelfde machine waargenomen, slechts een week na elkaar. Deze uitvoering van RansomHub was zeer ongebruikelijk in vergelijking met de typische gevallen die we hebben gezien in de ESET-telemetrie, maar lijkt erg op de werkwijze van CosmicBeetle. Aangezien er geen openbare lekken van RansomHub zijn, doet dit ons met gemiddelde zekerheid geloven dat CosmicBeetle een recent onderdeel van hen kan zijn,” voegt Souček toe.
CosmicBeetle gebruikt vaak brute-force methoden om zijn doelwitten binnen te dringen. Daarnaast maakt het misbruik van verschillende bekende kwetsbaarheden. Het mkb uit allerlei sectoren over de hele wereld zijn de meest voorkomende slachtoffers van deze dreigingsaanvaller, omdat dit het segment is waar de kans het grootst is dat de getroffen software wordt gebruikt of waar geen krachtige patchbeheerprocessen aanwezig zijn. ESET Research heeft aanvallen waargenomen op mkb's in de volgende branches: productie, farmaceutica, juridische zaken, onderwijs, gezondheidszorg, technologie, horeca, financiële dienstverlening en regionale overheden.
Naast het versleutelen kan ScRansom ook verschillende processen en services op de getroffen machine uitschakelen. ScRansom is niet zeer geavanceerd, en CosmicBeetle is een ‘jonge‘ speler in de ransomware wereld, ook zijn er problemen met de implementatie van ScRansom. Desondanks heeft CosmicBeetle toch interessante doelwitten weten te compromitteren. Slachtoffers die getroffen zijn door ScRansom en besluiten om te betalen, moeten voorzichtig zijn.
ESET Research was in staat om een decryptor te verkrijgen die door CosmicBeetle is geïmplementeerd voor zijn recente versleutelingsschema. ScRansom wordt voortdurend verder ontwikkeld, wat nooit een goed teken is voor ransomware. De overcomplexiteit van het versleutelings- (en ontsleutelings-) proces is gevoelig voor fouten, waardoor herstel van alle bestanden twijfelachtig is. Succesvolle decryptie is afhankelijk van de goede werking van de decryptor en van CosmicBeetle die alle benodigde sleutels levert, en zelfs in dat geval kunnen sommige bestanden permanent worden vernietigd door de dreigingsactor. Zelfs in het beste geval duurt het ontsleutelen lang en is het ingewikkeld.
CosmicBeetle, actief sinds 2020, is de naam die ESET-onderzoekers toekenden aan een dreigingsacctor die in 2023 werd ontdekt. Deze dreigingsactor is vooral bekend vanwege het gebruik van zijn aangepaste verzameling Delphi-tools, gewoonlijk Spacecolon genoemd, bestaande uit ScHackTool, ScInstaller, ScService en ScPatcher.
Voor meer technische informatie over de laatste activiteiten van CosmicBeetle, bekijk de blogpost “CosmicBeetle steps up: Proeftijd bij RansomHub” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.
Heatmap van CosmicBeetle-aanvallen sinds augustus 2023, volgens ESET-telemetrie.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X (voorheen Twitter).