I ricercatori di ESET, specialista europeo globale nel mercato della cybersecurity, hanno mappato le recenti attività del gruppo di minacce CosmicBeetle, documentando l’uso del nuovo ransomware ScRansom e rivelando collegamenti con altri gruppi di ransomware consolidati. CosmicBeetle ha diffuso ransomware contro piccole e medie imprese (PMI), principalmente in Europa e Asia.
ESET Research ha osservato che l’attore della minaccia ha utilizzato il builder di LockBit reso pubblico e ha cercato di sfruttare la reputazione del ransomware. Oltre a LockBit, ESET ritiene che CosmicBeetle sia probabilmente un nuovo affiliato dell’attore ransomware-as-a-service RansomHub, un nuovo gruppo di ransomware attivo da marzo 2024 con un’attività in rapida crescita.
“Probabilmente a causa delle difficoltà che comporta scrivere da zero un ransomware personalizzato, CosmicBeetle ha cercato di sfruttare la reputazione di LockBit, forse per mascherare i problemi nel ransomware sottostante e aumentare così la probabilità che le vittime siano disposte a pagare”, afferma Jakub Souček, il ricercatore di ESET che ha analizzato le ultime attività di CosmicBeetle. “Inoltre, di recente, abbiamo osservato il dispiegamento dei payload di ScRansom e RansomHub sulla stessa macchina a distanza di una settimana. L’esecuzione di RansomHub è stata insolita rispetto ai casi tipici che abbiamo osservato nella telemetria di ESET, ma molto simile al modus operandi di CosmicBeetle. Poiché non ci sono fughe di dati pubbliche relative a RansomHub, riteniamo con una certa sicurezza che CosmicBeetle possa essere un affiliato recente”.
CosmicBeetle spesso utilizza tecniche brute-force per violare i suoi obiettivi. Inoltre, sfrutta varie vulnerabilità note. Le piccole e medie imprese di vari settori in tutto il mondo sono le vittime più comuni di questo attore di minacce, poiché questo è il segmento che con maggiore probabilità utilizza software vulnerabile o non dispone di processi di gestione delle patch robusti.
ESET Research ha osservato attacchi contro PMI nei seguenti settori: manifatturiero, farmaceutico, legale, istruzione, sanità, tecnologia, ospitalità, servizi finanziari e governi regionali.
Oltre a crittografare i dati, ScRansom può anche terminare vari processi e servizi sulla macchina infetta. ScRansom non è un ransomware molto sofisticato, ma CosmicBeetle è stato comunque in grado di compromettere obiettivi interessanti e causare danni significativi. Questo è dovuto principalmente al fatto che CosmicBeetle è ancora un attore immaturo nel mondo del ransomware, e la distribuzione di ScRansom è affetta da diversi problemi. Le vittime colpite da ScRansom, che decidono di pagare, dovrebbero agire con cautela.
ESET Research è riuscita a ottenere un decryptor implementato da CosmicBeetle per il suo recente schema di crittografia. ScRansom è in continuo sviluppo, il che complica ulteriormente le cose. La crittografia e la decrittazione sono processi molto complessi e soggetti a errori, e questo rende difficile garantire il recupero completo dei file. La riuscita della decrittazione dipende dal corretto funzionamento del decryptor e dal fatto che CosmicBeetle fornisca tutte le chiavi necessarie, e anche in quel caso, alcuni file potrebbero essere distrutti permanentemente. Anche nel migliore dei casi, la decrittazione è lunga e complicata.
CosmicBeetle, attivo almeno dal 2020, è il nome dato da ESET Research a un gruppo di cybercriminali scoperto nel 2023. Questo gruppo è noto soprattutto per l’utilizzo di una serie di strumenti personalizzati sviluppati in Delphi, chiamata Spacecolon che include ScHackTool, ScInstaller, ScService e ScPatcher.