ESET Research: CosmicBeetle groep bundelt krachten met andere ransomware bendes

ESET-onderzoekers hebben de recente activiteiten van de dreigersgroep CosmicBeetle in kaart gebracht. Ze hebben gedocumenteerd hoe de nieuwe ScRansomware wordt ingezet en hebben verbanden ontdekt met andere gevestigde ransomwarebendes. CosmicBeetle heeft ransomware verspreid onder het mkb, voornamelijk in Europa en Azië. ESET Research heeft gezien dat de dreigende actor de gelekte LockBit-bouwer gebruikt en probeert om de reputatie van LockBit op het gebied van ransomware uit te buiten. Naast LockBit is CosmicBeetle volgens ESET waarschijnlijk een nieuw filiaal van ransomware-as-a-service actor RansomHub, een nieuwe ransomware bende actief sinds maart 2024 met snel toenemende activiteit.

“Waarschijnlijk vanwege de obstakels die het 'from scratch’ schrijven van aangepaste ransomware met zich meebrengt, probeerde CosmicBeetle te profiteren van de reputatie van LockBit, mogelijk om de problemen in de onderliggende ransomware te maskeren en op zijn beurt de kans te vergroten dat slachtoffers zullen betalen,” zegt ESET-onderzoeker Jakub Souček, die de nieuwste activiteit van CosmicBeetle analyseerde. “Daarnaast hebben we onlangs de inzet van ScRansom en RansomHub payloads op dezelfde machine waargenomen, slechts een week na elkaar. Deze uitvoering van RansomHub was zeer ongebruikelijk in vergelijking met de typische gevallen die we hebben gezien in de ESET-telemetrie, maar lijkt erg op de werkwijze van CosmicBeetle. Aangezien er geen openbare lekken van RansomHub zijn, doet dit ons met gemiddelde zekerheid geloven dat CosmicBeetle een recent onderdeel van hen kan zijn,” voegt Souček toe.

CosmicBeetle gebruikt vaak brute-force methoden om zijn doelwitten binnen te dringen. Daarnaast maakt het misbruik van verschillende bekende kwetsbaarheden. Het mkb uit allerlei sectoren over de hele wereld zijn de meest voorkomende slachtoffers van deze dreigingsaanvaller, omdat dit het segment is waar de kans het grootst is dat de getroffen software wordt gebruikt of waar geen krachtige patchbeheerprocessen aanwezig zijn. ESET Research heeft aanvallen waargenomen op mkb's in de volgende branches: productie, farmaceutica, juridische zaken, onderwijs, gezondheidszorg, technologie, horeca, financiële dienstverlening en regionale overheden.

Naast het versleutelen kan ScRansom ook verschillende processen en services op de getroffen machine uitschakelen. ScRansom is niet zeer geavanceerd, en CosmicBeetle is een ‘jonge‘ speler in de ransomware wereld, ook zijn er problemen met de implementatie van ScRansom. Desondanks heeft CosmicBeetle toch interessante doelwitten weten te compromitteren. Slachtoffers die getroffen zijn door ScRansom en besluiten om te betalen, moeten voorzichtig zijn.

ESET Research was in staat om een decryptor te verkrijgen die door CosmicBeetle is geïmplementeerd voor zijn recente versleutelingsschema. ScRansom wordt voortdurend verder ontwikkeld, wat nooit een goed teken is voor ransomware. De overcomplexiteit van het versleutelings- (en ontsleutelings-) proces is gevoelig voor fouten, waardoor herstel van alle bestanden twijfelachtig is. Succesvolle decryptie is afhankelijk van de goede werking van de decryptor en van CosmicBeetle die alle benodigde sleutels levert, en zelfs in dat geval kunnen sommige bestanden permanent worden vernietigd door de dreigingsactor. Zelfs in het beste geval duurt het ontsleutelen lang en is het ingewikkeld.

CosmicBeetle, actief sinds 2020, is de naam die ESET-onderzoekers toekenden aan een dreigingsacctor die in 2023 werd ontdekt. Deze dreigingsactor is vooral bekend vanwege het gebruik van zijn aangepaste verzameling Delphi-tools, gewoonlijk Spacecolon genoemd, bestaande uit ScHackTool, ScInstaller, ScService en ScPatcher.

Voor meer technische informatie over de laatste activiteiten van CosmicBeetle, bekijk de blogpost “CosmicBeetle steps up: Probation period at RansomHub” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.