El actor de amenazas conocido como CosmicBeetle lanzó una nueva cepa de ransomware personalizada llamada ScRansom en ataques dirigidos a pequeñas y medianas empresas (PYMES) en Europa, Asia, África y América del Sur, mientras probablemente también trabajaba como afiliado de RansomHub.
«CosmicBeetle reemplazó su ransomware previamente implementado, Scarab, con ScRansom, que se mejora continuamente», dijo Jakub Souček, investigador de ESET. dicho en un nuevo análisis publicado hoy. “Aunque no es de primera categoría, el actor de amenazas es capaz de comprometer objetivos de interés. »
Los objetivos de ataque de ScRansom abarcan los sectores de fabricación, farmacéutico, legal, educación, atención médica, tecnología, hotelería, ocio, servicios financieros y gobiernos regionales.
CosmicBeetle es mejor conocido por un conjunto de herramientas de malware llamado Spacecolon, que anteriormente se identificó como utilizado para difundir el ransomware Scarab a organizaciones víctimas de todo el mundo.
También conocido como NONAME, se sabe que el adversario experimentó con el constructor LockBit filtrado en un intento de hacerse pasar por la infame banda de ransomware en sus notas de rescate y sitio de filtración ya en noviembre de 2023.
Aún no está claro quién está detrás del ataque ni de dónde proceden, aunque una hipótesis anterior implicaba que podrían ser de origen turco debido a la presencia de un esquema de cifrado personalizado utilizado en otra herramienta llamada ScHackTool. ESET, sin embargo, sospecha que esta atribución ya no se sostiene.
«El esquema de cifrado de ScHackTool se utiliza en entornos legítimos Gadget de supervisión de disco«, enfatizó Souček. «Es probable que este algoritmo haya sido adaptado [from a Stack Overflow thread] por VOVSOFT [the Turkish software firm behind the tool] y, años más tarde, CosmicBeetle lo encontró y lo usó para ScHackTool.»
Se han observado cadenas de ataques aprovechando ataques de fuerza bruta y vulnerabilidades de seguridad conocidas (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475Y CVE-2023-27532) para infiltrarse en entornos específicos.
Las intrusiones implican además el uso de diversas herramientas, como Combinar, Lado OscuroY RealBlindingEDR para finalizar procesos relacionados con la seguridad para evitar la detección antes de implementar el ransomware ScRansom basado en Delphi, que admite cifrado parcial para acelerar el proceso y un modo «BORRAR» para hacer que los archivos sean irrecuperables sobrescribiéndolos con un valor constante.
La conexión con RansomHub surge del hecho de que la empresa eslovaca de ciberseguridad detectó el despliegue de las cargas útiles de ScRansom y RansomHub en la misma máquina en el espacio de una semana.
«Probablemente debido a los obstáculos de escribir ransomware personalizado desde cero, CosmicBeetle intentó aprovechar la reputación de LockBit, tal vez para enmascarar problemas con el ransomware subyacente y así aumentar las posibilidades de que las víctimas paguen», dijo Souček.
Cicada3301 presenta una versión actualizada
Esta divulgación se produce cuando se ha observado que actores maliciosos vinculados al ransomware Cicada3301 (también conocido como Repellent Scorpius) utilizan una versión actualizada del cifrador desde julio de 2024.
«Los actores de amenazas agregaron un nuevo argumento de línea de comando, –no-note», Unidad 42 de Palo Alto Networks dicho en un informe compartido con The Hacker News. “Cuando se presenta este argumento, el cifrador no escribirá la nota de rescate en el sistema. »
Otro cambio importante es la ausencia de nombres de usuario o contraseñas codificados en el binario, aunque aún conserva la capacidad de ejecutar PsExec usando estas credenciales si existen, una técnica destacada recientemente por Morphisec.
En un giro interesante, el proveedor de ciberseguridad dijo que ha observado signos de que el grupo tiene datos obtenidos de incidentes de compromiso más antiguos, anteriores a la operación del grupo bajo la marca Cicada3301.
Esto planteó la posibilidad de que el actor de la amenaza haya estado operando bajo una marca de ransomware diferente o haya comprado los datos de otros grupos de ransomware. Dicho esto, la Unidad 42 señaló que había identificado cierta superposición con otro ataque liderado por una subsidiaria que implementó el ransomware BlackCat en marzo de 2022.
BURNTCIGAR se convierte en un limpiador de EDR
Los hallazgos también rastrean la evolución de un controlador de Windows firmado en modo kernel utilizado por varias bandas de ransomware para deshabilitar el software Endpoint Detección y Respuesta (EDR) que le permite actuar como un borrador para eliminar componentes críticos asociados con estas soluciones, en lugar de completarlas. .
El malware en cuestión es POORTRY, que se distribuye mediante un cargador llamado STONESTOP para orquestar un ataque BYOVD (Traiga su propio controlador vulnerable), eludiendo efectivamente las medidas de protección Driver Signature Enforcement. Trend Micro notó por primera vez su capacidad para “forzar la eliminación” de archivos en el disco en mayo de 2023.
POORTRY, detectado ya en 2021, también se llama BURNTCIGAR y ha sido utilizado por varias bandas de ransomware, incluidas CUBA, BlackCat, Medusa, LockBit y RansomHub, a lo largo de los años.
«Tanto el ejecutable de Stonestop como el controlador Poortry están muy compactos y ofuscados», dijo Sophos. dicho en un informe reciente. “Este cargador ha sido ofuscado por un empaquetador de código cerrado llamado ASMGuard, disponible en GitHub. »
POORTRY se centra en deshabilitar productos EDR mediante una serie de técnicas diferentes, como eliminar o modificar las rutinas de notificación del kernel. EDR Killer tiene como objetivo finalizar los procesos relacionados con la seguridad e inutilizar el Agente EDR borrando archivos críticos del disco.
Vale la pena señalar el uso de RansomHub de una versión mejorada de POORTRY a la luz del hecho de que también se observó que el equipo de ransomware usaba otra herramienta de destrucción EDR denominada EDRKillShifter este año.
«Es importante reconocer que los actores maliciosos experimentan constantemente con diferentes métodos para desactivar los productos EDR, una tendencia que hemos visto al menos desde 2022″, dijo Sophos a The Hacker News. “Estos experimentos pueden implicar diversas tácticas, como explotar a conductores vulnerables o utilizar certificados que se filtraron involuntariamente u se obtuvieron por medios ilegales. »
“Si bien puede parecer que hay un aumento significativo en estas actividades, es más exacto decir que se trata de un proceso continuo y no de un aumento repentino. »
“El uso de diferentes herramientas de destrucción de EDR, como EDRKillShifter, por parte de grupos como RansomHub, probablemente refleja esta experimentación en curso. También es posible que estén involucrados diferentes afiliados, lo que podría explicar el uso de métodos variados, pero sin información específica no queremos especular demasiado sobre este punto. »
