KMO’s in Europa en Azië doelwit van CosmicBeetle in smanewerking met ransomware-gangs, zegt ESET Research
Onderzoekers van ESET hebben de nieuwste activiteiten van de CosmicBeetle-dreigingsgroep in kaart gebracht. Daarbij stelden ze vast dat de nieuwe ScRansom-ransomware van de groep werd ingezet en ontdekten ze verbindingen met andere gevestigde ransomware-bendes. CosmicBeetle verspreidt ransomware in KMO’s, vooral in Europa en Azië. ESET Research zag dat de dreigingsactor de gelekte LockBit-builder gebruikte en profiteerde van de ransomware-reputatie van LockBit. ESET denkt dat naast LockBit, CosmicBeetle wellicht een nieuwe partner is van ransomware-as-a-service-actor RansomHub, een nieuwe ransomware-bende die sinds maart 2024 steeds meer actief is.
“Wellicht omdat het schrijven, vanaf nul, van aangepaste ransomware heel wat obstakels met zich meebrengt, probeerde CosmicBeetle van de reputatie van LockBit te profiteren, mogelijk om de problemen in de onderliggende ransomware te verdoezelen en de kans te vergroten dat slachtoffers zouden betalen”, zegt ESET-onderzoeker Jakub Souček, die de activiteit van CosmicBeetle analyseerde. “Bovendien zagen we onlangs de implementatie van ScRansom- en RansomHub-payloads op hetzelfde toestel, met slechts een week tussen de twee in. Dit was zeer ongebruikelijk vergeleken met de typische gevallen die we in de ESET-telemetrie zagen, maar behoorlijk vergelijkbaar met de werkwijze van CosmicBeetle. Aangezien er geen openbare lekken van RansomHub zijn, mogen we met een gemiddelde zekerheid aannemen dat CosmicBeetle een van hun recente aangeslotenen kan zijn”, aldus Souček.
CosmicBeetle gebruikt vaak brute-force-methoden om bij zijn doelwitten in te breken. Daarnaast misbruikt het diverse bekende kwetsbaarheden. KMO’s uit allerlei sectoren wereldwijd zijn de meest voorkomende slachtoffers van deze dreigingsactor, omdat dit het segment is dat het meest waarschijnlijk de getroffen software gebruikt of geen robuuste patchprocessen heeft. ESET Research stelde aanvallen op KMO’s in de volgende sectoren vast: productie, farmacie, juridische zaken, onderwijs, gezondheidszorg, technologie, horeca, vrijetijdsdiensten, financiële diensten en regionale overheid.
Naast encryptie kan ScRansom ook verschillende processen en diensten op de getroffen machine uitschakelen. Hoewel CosmicBeetle interessante doelen kon compromitteren en hen grote schade kon aanbrengen, is ScRansom een niet erg geavanceerde ransomware , vooral omdat het in de ransomware-wereld een onvolwassen speler is en omdat er problemen zijn bij de implementatie van ScRansom. Slachtoffers van ScRansom die besluiten te betalen, moeten erg voorzichtig zijn.
ESET Research kon aan een decryptor geraken die CosmicBeetle gebruikte voor zijn recente encryptieschema. ScRansom is constant in ontwikkeling, wat voor ransomware nooit een goed teken is. De over-complexiteit van het encryptie- (en decryptie-)proces is gevoelig voor fouten, zodat het herstel van alle bestanden niet zeker is. Succesvolle decryptie is afhankelijk van de juiste werking van de decryptor en van CosmicBeetle die alle nodige sleutels levert. Zelfs in dat geval kunnen bestanden permanent door de dreigingsactor onbruikbaar gemaakt zijn en meestal is de decryptie lang en ingewikkeld.
CosmicBeetle, die minstens sinds 2020 actief is, is de naam die ESET-onderzoekers gaven aan een bedreigingsactor die in 2023 werd ontdekt. Deze actor is vooral bekend door het gebruik van zijn aangepaste verzameling Delphi-tools, bekend als Spacecolon, en bestaande uit ScHackTool, ScInstaller, ScService en ScPatcher.
Voor meer technische informatie over de nieuwste activiteit van CosmicBeetle, lees de blog
“CosmicBeetle steps up: Probation period at RansomHub” op WeLiveSecurity.com. Volg zeker ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
Heatmap van CosmicBeetle-aanvallen sinds augustus 2023, volgens ESET-telemtrie.
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.
