Um ator de ameaça conhecido como CosmicBeetle lançou um novo tipo de ransomware personalizado chamado ScRansom em ataques direcionados a pequenas e médias empresas (SMBs) na Europa, Ásia, África e América do Sul, possivelmente atuando como agente do RansomHub.
“CosmicBeetle substituiu seu ransomware usado anteriormente, Scarab, por ScRansom, que está sendo constantemente aprimorado”, disse o pesquisador da ESET Jakub Souček em uma nova análise publicada hoje. “Embora não seja o melhor, o ator da ameaça é capaz de comprometer alvos interessantes.”
Os alvos do ScRansom atacam os setores de manufatura, farmacêutico, jurídico, educação, saúde, tecnologia, hospitalidade, entretenimento, serviços financeiros e governo estadual.
CosmicBeetle é mais conhecido por uma ferramenta maliciosa chamada Spacecolon, que foi anteriormente identificada como sendo usada para entregar ransomware Scarab a organizações vítimas em todo o mundo.
Também conhecido como NONAME, o adversário tem um histórico de experiências com o desenvolvedor LockBit vazado na tentativa de se passar pela notória gangue de ransomware em suas notas de resgate e site de vazamento que datam de novembro de 2023.
Ainda não está claro quem executou o ataque ou de onde vieram, embora especulações anteriores sugerissem que poderiam ser de origem turca devido à presença de um programa de criptografia personalizado usado em outra ferramenta chamada ScHackTool. A ESET, no entanto, suspeita que não está mais retendo água.
“O programa de criptografia do ScHackTool é usado no Disk Monitor Gadget oficial”, disse Souček. “É possível que este algoritmo tenha sido alterado [from a Stack Overflow thread] da VOVSOFT [the Turkish software firm behind the tool] e, anos depois, CosmicBeetle encontrou-o e usou-o para o ScHackTool.”
Cadeias de ataques foram observadas explorando ataques de força bruta e falhas de segurança conhecidas (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 e CVE-2023-27532 ) para entrar nas áreas alvo.
A intervenção também envolve o uso de várias ferramentas como Reaper, Darkside e RealBlindingEDR para interromper processos relacionados à segurança para encontrar o lado antes de enviar o ransomware ScRansom baseado em Delphi, que vem com suporte parcial de criptografia para acelerar o processo e “CLEAR “modo para tornar os arquivos irreversíveis, substituindo-os por um valor constante.
A conexão com o RansomHub decorre do fato de que uma empresa eslovaca de segurança cibernética viu a implantação de downloads do ScRansom e do RansomHub na mesma máquina dentro de uma semana.
“Talvez devido aos obstáculos que surgem ao escrever ransomware personalizado do zero, o CosmicBeetle tentou destruir a reputação do LockBit, talvez escondendo os problemas no ransomware básico e aumentando a chance de as vítimas pagarem”, disse Souček.
Cicada3301 lança versão atualizada
Esta divulgação ocorre no momento em que atores maliciosos vinculados ao ransomware Cicada3301 (também conhecido como Repellent Scorpius) foram detectados usando uma versão atualizada do criptografador desde julho de 2024.
“Os autores da ameaça adicionaram um novo argumento de linha de comando, –no-note”, disse a Unidade 42 da Palo Alto Networks em um relatório compartilhado com o The Hacker News. “Se este argumento for solicitado, o criptografador não escreverá uma nota de resgate no sistema.”
Outra mudança importante é a ausência de nomes de usuário ou senhas codificados no binário, embora ainda mantenha a capacidade de usar o PsExec usando essas credenciais, se existirem, um processo recentemente destacado pela Morphisec.
Numa reviravolta interessante, o fornecedor de segurança cibernética disse ter visto sinais de que o grupo tinha informações obtidas de antigos incidentes de comprometimento que precederam a operação do grupo sob a marca Cicada3301.
Isso levantou a possibilidade de o autor da ameaça ter operado sob um tipo diferente de ransomware ou adquirido dados de outros grupos de ransomware. Dito isso, a Unidade 42 observou que identificou alguma sobreposição com outro ataque de uma afiliada que enviou o ransomware BlackCat em março de 2022.
BURNTCIGAR se torna um limpador EDR
As descobertas também seguem o surgimento de um driver Windows assinado em modo kernel, usado por muitos hackers de ransomware para desativar o software Endpoint Detection and Response (EDR), que permite que ele atue como um recurso para remover componentes-chave associados a essas soluções, em vez de eliminar eles.
O malware em questão é o POORTRY, entregue por meio de um carregador chamado STONESTOP para orquestrar ataques Traga seu próprio driver vulnerável (BYOVD), contornando com sucesso as proteções de aplicação de assinatura de driver. Sua capacidade de “forçar a exclusão” de arquivos do disco foi notada pela primeira vez pela Trend Micro em maio de 2023.
POORTRY, descoberto desde 2021, também é chamado de BURNTCIGAR e tem sido usado por muitos grupos de ransomware, incluindo CUBA, BlackCat, Medusa, LockBit e RansomHub ao longo dos anos.
“Tanto a implementação do Stonestop como o factor Pobreza são muito abrangentes e claros”, disse a Sophos num relatório recente. “Este carregador é feito a partir de um empacotador de código fechado chamado ASMGuard, disponível no GitHub.”
POORTRY “se concentra em desabilitar produtos EDR por meio de uma série de técnicas diferentes, como a remoção ou modificação de processos de notificação do kernel. O assassino EDR visa encerrar processos relacionados à segurança e tornar o agente EDR inútil, apagando arquivos críticos do disco.”
O uso de uma versão melhorada do POORTRY pelo RansomHub foi notado porque a equipe do ransomware foi flagrada usando outra ferramenta de eliminação de EDR chamada EDKillShifter este ano.
“É importante observar que os agentes de ameaças têm tentado métodos diferentes para desabilitar produtos EDR – uma tendência que temos notado desde pelo menos 2022”, disse Sophos ao Hacker News. “Esses testes podem envolver diversas táticas, como a exploração de motoristas vulneráveis ou o uso de certificados que foram vazados acidentalmente ou obtidos por meios ilegais”.
“Embora possa parecer que há um aumento significativo nestas actividades, é mais correcto dizer que isto faz parte de um processo contínuo e não de um aumento repentino.”
“O uso de diferentes ferramentas EDR-killer, como o EDRKillShifter por grupos como o RansomHub, provavelmente mostra esse experimento em andamento. Também é possível que diferentes partes estejam envolvidas, o que explicaria o uso de métodos diferentes, embora sem alguma informação, teríamos não ‘Não quero especular muito sobre esse ponto “.
