ESET Research: CosmicBeetle groep bundelt krachten met andere ransomware bendes

ESET-Logo400300_Transparent

ESET-onderzoekers hebben de recente activiteiten van de dreigersgroep CosmicBeetle in kaart gebracht. Ze hebben gedocumenteerd hoe de nieuwe ScRansomware wordt ingezet en hebben verbanden ontdekt met andere gevestigde ransomwarebendes. CosmicBeetle heeft ransomware verspreid onder het mkb, voornamelijk in Europa en Azië. ESET Research heeft gezien dat de dreigende actor de gelekte LockBit-bouwer gebruikt en probeert om de reputatie van LockBit op het gebied van ransomware uit te buiten. Naast LockBit is CosmicBeetle volgens ESET waarschijnlijk een nieuw filiaal van ransomware-as-a-service actor RansomHub, een nieuwe ransomware bende actief sinds maart 2024 met snel toenemende activiteit.

“Waarschijnlijk vanwege de obstakels die het 'from scratch’ schrijven van aangepaste ransomware met zich meebrengt, probeerde CosmicBeetle te profiteren van de reputatie van LockBit, mogelijk om de problemen in de onderliggende ransomware te maskeren en op zijn beurt de kans te vergroten dat slachtoffers zullen betalen,” zegt ESET-onderzoeker Jakub Souček, die de nieuwste activiteit van CosmicBeetle analyseerde. “Daarnaast hebben we onlangs de inzet van ScRansom en RansomHub payloads op dezelfde machine waargenomen, slechts een week na elkaar. Deze uitvoering van RansomHub was zeer ongebruikelijk in vergelijking met de typische gevallen die we hebben gezien in de ESET-telemetrie, maar lijkt erg op de werkwijze van CosmicBeetle. Aangezien er geen openbare lekken van RansomHub zijn, doet dit ons met gemiddelde zekerheid geloven dat CosmicBeetle een recent onderdeel van hen kan zijn,” voegt Souček toe.

CosmicBeetle gebruikt vaak brute-force methoden om zijn doelwitten binnen te dringen. Daarnaast maakt het misbruik van verschillende bekende kwetsbaarheden. Het mkb uit allerlei sectoren over de hele wereld zijn de meest voorkomende slachtoffers van deze dreigingsaanvaller, omdat dit het segment is waar de kans het grootst is dat de getroffen software wordt gebruikt of waar geen krachtige patchbeheerprocessen aanwezig zijn. ESET Research heeft aanvallen waargenomen op mkb's in de volgende branches: productie, farmaceutica, juridische zaken, onderwijs, gezondheidszorg, technologie, horeca, financiële dienstverlening en regionale overheden.

Naast het versleutelen kan ScRansom ook verschillende processen en services op de getroffen machine uitschakelen. ScRansom is niet zeer geavanceerd, en CosmicBeetle is een ‘jonge‘ speler in de ransomware wereld, ook zijn er problemen met de implementatie van ScRansom. Desondanks heeft CosmicBeetle toch interessante doelwitten weten te compromitteren. Slachtoffers die getroffen zijn door ScRansom en besluiten om te betalen, moeten voorzichtig zijn.

ESET Research was in staat om een decryptor te verkrijgen die door CosmicBeetle is geïmplementeerd voor zijn recente versleutelingsschema. ScRansom wordt voortdurend verder ontwikkeld, wat nooit een goed teken is voor ransomware. De overcomplexiteit van het versleutelings- (en ontsleutelings-) proces is gevoelig voor fouten, waardoor herstel van alle bestanden twijfelachtig is. Succesvolle decryptie is afhankelijk van de goede werking van de decryptor en van CosmicBeetle die alle benodigde sleutels levert, en zelfs in dat geval kunnen sommige bestanden permanent worden vernietigd door de dreigingsactor. Zelfs in het beste geval duurt het ontsleutelen lang en is het ingewikkeld.

CosmicBeetle, actief sinds 2020, is de naam die ESET-onderzoekers toekenden aan een dreigingsacctor die in 2023 werd ontdekt. Deze dreigingsactor is vooral bekend vanwege het gebruik van zijn aangepaste verzameling Delphi-tools, gewoonlijk Spacecolon genoemd, bestaande uit ScHackTool, ScInstaller, ScService en ScPatcher.

Voor meer technische informatie over de laatste activiteiten van CosmicBeetle, bekijk de blogpost “CosmicBeetle steps up: Probation period at RansomHub” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Meer over
Lees ook
Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint, publiceert vandaag de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvall1

Politiediensten halen LockBit infra offline

Politiediensten halen LockBit infra offline

Op 20 februari 2024 hebben Europol, de Nederlandse Politie en politiediensten uit tien landen met een grote verstoringsactie 34 servers uit de lucht gehaald van de ransomware groepering LockBit.

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.