CosmicBeetle ha recentemente lanciato un nuovo ransomware personalizzato chiamato ScRansom, mirato a piccole e medie imprese (PMI) in Europa, Asia, Africa e Sud America. Questa nuova minaccia è stata sviluppata in collaborazione con RansomHub. In precedenza, CosmicBeetle utilizzava il ransomware Scarab, ma ha deciso di sostituirlo con ScRansom, che viene continuamente migliorato.

Le vittime degli attacchi con ScRansom appartengono a vari settori, tra cui manifatturiero, farmaceutico, legale, educativo, sanitario, tecnologico, ospitalità, tempo libero, servizi finanziari e governi regionali. CosmicBeetle è noto per il suo set di strumenti malevoli chiamato Spacecolon, utilizzato in passato per distribuire il ransomware Scarab.

Il gruppo, noto anche come NONAME, ha una storia di esperimenti con il builder di LockBit, cercando di spacciarsi per il famoso gruppo di ransomware nei messaggi di riscatto e nei siti di leak. Non è chiaro chi siano gli autori degli attacchi né da dove provengano, sebbene un'ipotesi iniziale li collegasse alla Turchia.

Vulnerabilità sfruttate e strumenti utilizzati

Gli attacchi di ScRansom sfruttano vulnerabilità note nei sistemi informatici (come CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 e CVE-2023-27532) e utilizzano strumenti come Reaper, Darkside e RealBlindingEDR per terminare i processi di sicurezza prima di distribuire il ransomware basato su Delphi. Questo ransomware supporta la crittografia parziale per accelerare il processo e una modalità "ERASE" per rendere i file irrecuperabili sovrascrivendoli con un valore costante.

Connessione con RansomHub

La connessione con RansomHub è stata osservata quando la società di sicurezza slovacca ESET ha individuato il dispiegamento di payload ScRansom e RansomHub sulla stessa macchina nel giro di una settimana. CosmicBeetle ha cercato di approfittare della reputazione di LockBit per mascherare i problemi nel ransomware sottostante e aumentare le probabilità che le vittime pagassero il riscatto.

Nel frattempo, gli attori della minaccia collegati al ransomware Cicada3301 (noto anche come Repellent Scorpius) sono stati osservati utilizzare una versione aggiornata del loro encryptor. Questa nuova versione include un argomento della riga di comando chiamato --no-note, che impedisce al programma di scrivere la nota di riscatto sul sistema. Inoltre, non contiene più nomi utente o password codificati nel binario, sebbene mantenga la capacità di eseguire PsExec utilizzando queste credenziali se esistono.

POORTRY: un driver firmato in modalità kernel

POORTRY, un driver firmato in modalità kernel utilizzato da più gruppi di ransomware per disabilitare il software di Endpoint Detection and Response (EDR), è stato recentemente migliorato. Questo driver, noto anche come BURNTCIGAR, è utilizzato per eliminare componenti critici associati alle soluzioni EDR, superando le salvaguardie di Driver Signature Enforcement.

L'uso di POORTRY da parte di RansomHub è significativo, considerando che il gruppo ha anche utilizzato un altro strumento killer EDR chiamato EDRKillShifter. Gli attori della minaccia continuano a sperimentare metodi diversi per disabilitare i prodotti EDR, una tendenza osservata dal 2022.