ESET виявила нову програму-вимагач ScRansom, яку поширювала група кіберзлочинців CosmicBeetle серед малих та середніх підприємств переважно у Європі та Азії. Крім цього, CosmicBeetle, ймовірно, є частиною нової групи програм-вимагачів RansomHub, активної з березня 2024 року, та пропонує програми-вимагачі як сервіси.
«Ймовірно, через перешкоди під час створення програми-вимагача з нуля, CosmicBeetle спробувала скористатися популярністю іншої програми-вимагача LockBit, можливо, щоб замаскувати проблеми в базовій програмі-вимагачі, і таким чином збільшити ймовірність, що жертви заплатять”, — каже Якуб Соучек, дослідник ESET.
Крім того, фахівці зафіксували розгортання компонентів ScRansom та RansomHub на одному пристрої з різницею в тиждень. Це виконання RansomHub було дуже незвичне порівняно з типовими випадками, які виявила телеметрія ESET, але схоже на спосіб дії CosmicBeetle. Оскільки немає публічних витоків інформації про RansomHub, це наштовхує на думку, що CosmicBeetle — це їх нова частина.
CosmicBeetle часто використовує метод підбору пароля для атак своїх цілей. Крім того, кіберзлочинці використовують різні відомі уразливості. Найчастіше жертвами цієї загрози стають малі та середні підприємства з різних галузей у всьому світі, оскільки цей сегмент більш ймовірно використовує неоновлене програмне забезпечення або не має надійного управління виправленнями. Зокрема дослідники ESET виявили атаки на компанії в таких галузях: виробництво, фармацевтика, юридичний сектор, освіта, охорона здоров’я, технології, індустрія гостинності, фінансові послуги та регіональні державні установи.
Крім шифрування, загроза ScRansom також може припиняти різні процеси та служби на інфікованій машині. ScRansom — досить нескладна програма-вимагач, хоча група CosmicBeetle змогла скомпрометувати цікаві цілі та завдати їм великої шкоди. Це здебільшого тому, що CosmicBeetle є новим гравцем у світі програм-вимагачів, при цьому існують проблеми з розгортанням ScRansom.
Дослідникам ESET вдалося отримати дешифратор, реалізований CosmicBeetle для своєї останньої схеми шифрування. Надскладний процес шифрування та дешифрування може призвести до помилок, що робить відновлення всіх файлів сумнівним. Успішне дешифрування залежить від належної роботи дешифратора та від того, чи CosmicBeetle надасть всі необхідні ключі. Хоча навіть у цьому разі зловмисник може назавжди видалити деякі файли. Навіть у найкращому випадку дешифрування є довгим та складним процесом.
Варто зазначити, що CosmicBeetle активна щонайменше з 2020 року. Ця загроза найбільш відома завдяки використанню спеціальної колекції інструментів Delphi, відому як Spacecolon, що складається з ScHackTool, ScInstaller, ScService та ScPatcher.
Для запобігання подібним атакам та своєчасного виявлення будь-якої шкідливої активності варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR).