ESET Research: CosmicBeetle groep bundelt krachten met andere ransomware bendes

ESET-Logo400300_Transparent

ESET-onderzoekers hebben de recente activiteiten van de dreigersgroep CosmicBeetle in kaart gebracht. Ze hebben gedocumenteerd hoe de nieuwe ScRansomware wordt ingezet en hebben verbanden ontdekt met andere gevestigde ransomwarebendes. CosmicBeetle heeft ransomware verspreid onder het mkb, voornamelijk in Europa en Azië. ESET Research heeft gezien dat de dreigende actor de gelekte LockBit-bouwer gebruikt en probeert om de reputatie van LockBit op het gebied van ransomware uit te buiten. Naast LockBit is CosmicBeetle volgens ESET waarschijnlijk een nieuw filiaal van ransomware-as-a-service actor RansomHub, een nieuwe ransomware bende actief sinds maart 2024 met snel toenemende activiteit.

“Waarschijnlijk vanwege de obstakels die het 'from scratch’ schrijven van aangepaste ransomware met zich meebrengt, probeerde CosmicBeetle te profiteren van de reputatie van LockBit, mogelijk om de problemen in de onderliggende ransomware te maskeren en op zijn beurt de kans te vergroten dat slachtoffers zullen betalen,” zegt ESET-onderzoeker Jakub Souček, die de nieuwste activiteit van CosmicBeetle analyseerde. “Daarnaast hebben we onlangs de inzet van ScRansom en RansomHub payloads op dezelfde machine waargenomen, slechts een week na elkaar. Deze uitvoering van RansomHub was zeer ongebruikelijk in vergelijking met de typische gevallen die we hebben gezien in de ESET-telemetrie, maar lijkt erg op de werkwijze van CosmicBeetle. Aangezien er geen openbare lekken van RansomHub zijn, doet dit ons met gemiddelde zekerheid geloven dat CosmicBeetle een recent onderdeel van hen kan zijn,” voegt Souček toe.

CosmicBeetle gebruikt vaak brute-force methoden om zijn doelwitten binnen te dringen. Daarnaast maakt het misbruik van verschillende bekende kwetsbaarheden. Het mkb uit allerlei sectoren over de hele wereld zijn de meest voorkomende slachtoffers van deze dreigingsaanvaller, omdat dit het segment is waar de kans het grootst is dat de getroffen software wordt gebruikt of waar geen krachtige patchbeheerprocessen aanwezig zijn. ESET Research heeft aanvallen waargenomen op mkb's in de volgende branches: productie, farmaceutica, juridische zaken, onderwijs, gezondheidszorg, technologie, horeca, financiële dienstverlening en regionale overheden.

Naast het versleutelen kan ScRansom ook verschillende processen en services op de getroffen machine uitschakelen. ScRansom is niet zeer geavanceerd, en CosmicBeetle is een ‘jonge‘ speler in de ransomware wereld, ook zijn er problemen met de implementatie van ScRansom. Desondanks heeft CosmicBeetle toch interessante doelwitten weten te compromitteren. Slachtoffers die getroffen zijn door ScRansom en besluiten om te betalen, moeten voorzichtig zijn.

ESET Research was in staat om een decryptor te verkrijgen die door CosmicBeetle is geïmplementeerd voor zijn recente versleutelingsschema. ScRansom wordt voortdurend verder ontwikkeld, wat nooit een goed teken is voor ransomware. De overcomplexiteit van het versleutelings- (en ontsleutelings-) proces is gevoelig voor fouten, waardoor herstel van alle bestanden twijfelachtig is. Succesvolle decryptie is afhankelijk van de goede werking van de decryptor en van CosmicBeetle die alle benodigde sleutels levert, en zelfs in dat geval kunnen sommige bestanden permanent worden vernietigd door de dreigingsactor. Zelfs in het beste geval duurt het ontsleutelen lang en is het ingewikkeld.

CosmicBeetle, actief sinds 2020, is de naam die ESET-onderzoekers toekenden aan een dreigingsacctor die in 2023 werd ontdekt. Deze dreigingsactor is vooral bekend vanwege het gebruik van zijn aangepaste verzameling Delphi-tools, gewoonlijk Spacecolon genoemd, bestaande uit ScHackTool, ScInstaller, ScService en ScPatcher.

Voor meer technische informatie over de laatste activiteiten van CosmicBeetle, bekijk de blogpost “CosmicBeetle steps up: Probation period at RansomHub” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Meer over
Lees ook
‘Nederlandse bedrijven slecht voorbereid op ransomware-aanval’

‘Nederlandse bedrijven slecht voorbereid op ransomware-aanval’

Een op de vijf Nederlandse organisaties is naar eigen zeggen niet goed voorbereid op een ransomware-aanval. Dat blijkt uit een groot internationaal onderzoek onder IT-professionals in opdracht van cyberbeveiliger Mimecast. Van alle onderzochte landen scoort Nederland veruit het slechtste.

Continuous data protection: een eerste vereiste voor herstel van ransomware-aanvallen

Continuous data protection: een eerste vereiste voor herstel van ransomware-aanvallen

De allereerste ransomware werd in 1989 op de wereld losgelaten. Deze luisterde naar de naam PS Cyborg en werd verspreid via floppy disks. De encryptie ervan kon eenvoudig ongedaan worden gemaakt. De makers vroegen hun slachtoffers om losgeld naar een postbus in Panama te verzenden. Het ging om 189 dollar in contanten.

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer t1