Der Bedrohungsakteur, der als CosmicBeetle bekannt ist, hat eine neue, maßgeschneiderte Ransomware-Variante namens ScRansom bei Angriffen auf kleine und mittlere Unternehmen (KMU) in Europa, Asien, Afrika und Südamerika eingesetzt und arbeitete gleichzeitig wahrscheinlich als Partner für RansomHub.
„CosmicBeetle hat seine zuvor eingesetzte Ransomware Scarab durch ScRansom ersetzt, die kontinuierlich verbessert wird“, sagte ESET-Forscher Jakub Souček in einer heute veröffentlichten neuen Analyse. „Obwohl der Bedrohungsakteur nicht erstklassig ist, ist er in der Lage, interessante Ziele zu kompromittieren.“
Zu den Zielen von ScRansom-Angriffen gehören die Bereiche Fertigung, Pharma, Recht, Bildung, Gesundheitswesen, Technologie, Gastgewerbe, Freizeit, Finanzdienstleistungen und regionale Regierungseinrichtungen.
CosmicBeetle ist vor allem für ein bösartiges Toolset namens Spacecolon bekannt, das bereits früher für die Verbreitung der Scarab-Ransomware bei Opferorganisationen weltweit eingesetzt wurde.
Der auch als NONAME bekannte Angreifer hat in der Vergangenheit mit dem durchgesickerten LockBit-Builder experimentiert, um sich in seinen Lösegeldforderungen und auf seiner Leak-Website bereits im November 2023 als die berüchtigte Ransomware-Bande auszugeben.
Derzeit ist nicht klar, wer hinter dem Angriff steckt oder woher die Täter stammen, obwohl eine frühere Hypothese aufgrund des Vorhandenseins eines benutzerdefinierten Verschlüsselungsschemas, das in einem anderen Tool namens ScHackTool verwendet wird, implizierte, dass sie türkischer Herkunft sein könnten. ESET vermutet jedoch, dass die Zuschreibung nicht mehr haltbar ist.
„Das Verschlüsselungsschema von ScHackTool wird im legitimen Disk Monitor Gadget verwendet“, erklärte Souček. „Es ist wahrscheinlich, dass dieser Algorithmus [aus einem Stack Overflow-Thread] von VOVSOFT [der türkischen Softwarefirma, die hinter dem Tool steht] übernommen wurde und CosmicBeetle Jahre später darüber stolperte und ihn für ScHackTool verwendete.“
Es wurde beobachtet, dass Angriffsketten Brute-Force-Angriffe und bekannte Sicherheitslücken (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 und CVE-2023-27532) ausnutzen, um in Zielumgebungen einzudringen.
Bei den Angriffen werden außerdem verschiedene Tools wie Reaper, Darkside und RealBlindingEDR eingesetzt, um sicherheitsrelevante Prozesse zu beenden und so die Erkennung zu umgehen, bevor die Delphi-basierte ScRansom-Ransomware eingesetzt wird, die eine Teilverschlüsselung zur Beschleunigung des Prozesses und einen „ERASE“-Modus bietet, um die Dateien durch Überschreiben mit einem konstanten Wert unwiederbringlich zu machen.
Die Verbindung zu RansomHub ergibt sich aus der Tatsache, dass das slowakische Cybersicherheitsunternehmen die Bereitstellung von ScRansom- und RansomHub-Nutzlasten auf demselben Computer innerhalb einer Woche beobachtete.
„Wahrscheinlich aufgrund der Hindernisse, die das Schreiben von benutzerdefinierter Ransomware von Grund auf mit sich bringt, versuchte CosmicBeetle, von LockBits Ruf zu profitieren, möglicherweise um die Probleme in der zugrunde liegenden Ransomware zu verschleiern und so die Wahrscheinlichkeit zu erhöhen, dass Opfer zahlen“, sagte Souček.
Cicada3301 veröffentlicht aktualisierte Version
Die Enthüllung erfolgt, nachdem beobachtet wurde, dass Bedrohungsakteure, die mit der Ransomware Cicada3301 (alias Repellent Scorpius) in Verbindung gebracht werden, seit Juli 2024 eine aktualisierte Version des Verschlüsselungsprogramms verwenden.
„Die Autoren der Bedrohung haben ein neues Befehlszeilenargument hinzugefügt, –no-note“, so Palo Alto Networks Unit 42 in einem Bericht, der The Hacker News zur Verfügung gestellt wurde. „Wenn dieses Argument aufgerufen wird, schreibt das Verschlüsselungsprogramm die Lösegeldforderung nicht in das System.“
Eine weitere wichtige Änderung ist das Fehlen von hartcodierten Benutzernamen oder Passwörtern in der Binärdatei, obwohl sie immer noch in der Lage ist, PsExec mit diesen Anmeldeinformationen auszuführen, falls sie vorhanden sind, eine Technik, die kürzlich von Morphisec hervorgehoben wurde.
In einer interessanten Wendung sagte der Cybersicherheitsanbieter, dass er Anzeichen dafür beobachtet habe, dass die Gruppe über Daten verfügt, die aus älteren Kompromittierungsvorfällen stammen, die vor dem Betrieb der Gruppe unter der Marke Cicada3301 liegen.
Dies hat die Möglichkeit aufgeworfen, dass der Bedrohungsakteur unter einer anderen Ransomware-Marke operiert oder die Daten von anderen Ransomware-Gruppen gekauft hat. Allerdings stellte Unit 42 fest, dass es einige Überschneidungen mit einem anderen Angriff gab, der im März 2022 von einem Partner durchgeführt wurde, der BlackCat-Ransomware einsetzte. BURNTCIGAR wird zu einem EDR-Wiper
Die Ergebnisse folgen auch der Entwicklung eines signierten Windows-Treibers im Kernel-Modus, der von mehreren Ransomware-Banden verwendet wird, um Endpoint Detection and Response (EDR)-Software auszuschalten, so dass er als Wiper zum Löschen kritischer Komponenten fungieren kann, die mit diesen Lösungen verbunden sind, anstatt sie zu beenden.
Bei der fraglichen Malware handelt es sich um POORTRY, die mithilfe eines Loaders namens STONESTOP bereitgestellt wird, um einen Bring Your Own Vulnerable Driver (BYOVD)-Angriff zu orchestrieren und so die Sicherheitsvorkehrungen der Treibersignaturerkennung effektiv zu umgehen. Die Fähigkeit, Dateien auf der Festplatte zu „zwangsweise zu löschen“, wurde erstmals im Mai 2023 von Trend Micro festgestellt.
POORTRY, das bereits 2021 entdeckt wurde, wird auch als BURNTCIGAR bezeichnet und wurde im Laufe der Jahre von mehreren Ransomware-Banden verwendet, darunter CUBA, BlackCat, Medusa, LockBit und RansomHub.
„Sowohl die ausführbare Datei Stonestop als auch der Poortry-Treiber sind stark komprimiert und verschleiert“, so Sophos in einem aktuellen Bericht. „Dieser Loader wurde von einem Closed-Source-Packer namens ASMGuard verschleiert, der auf GitHub verfügbar ist.“
POORTRY konzentriert sich „darauf, EDR-Produkte durch eine Reihe verschiedener Techniken zu deaktivieren, z. B. durch das Entfernen oder Ändern von Kernel-Benachrichtigungsroutinen. Der EDR-Killer zielt darauf ab, sicherheitsrelevante Prozesse zu beenden und den EDR-Agenten durch Löschen kritischer Dateien von der Festplatte unbrauchbar zu machen.“
Die Verwendung einer verbesserten Version von POORTRY durch RansomHub ist vor dem Hintergrund bemerkenswert, dass die Ransomware-Crew dieses Jahr auch bei der Verwendung eines anderen EDR-Killer-Tools namens EDRKillShifter beobachtet wurde.
„Es ist wichtig zu erkennen, dass Bedrohungsakteure ständig mit verschiedenen Methoden experimentieren, um EDR-Produkte zu deaktivieren – ein Trend, den wir mindestens seit 2022 beobachten“, sagte Sophos gegenüber The Hacker News. „Dieses Experimentieren kann verschiedene Taktiken umfassen, wie z. B. die Ausnutzung anfälliger Treiber oder die Verwendung von Zertifikaten, die unbeabsichtigt durchgesickert sind oder auf illegale Weise erlangt wurden.“
„Obwohl es so aussehen mag, als gäbe es einen signifikanten Anstieg dieser Aktivitäten, ist es genauer zu sagen, dass dies Teil eines kontinuierlichen Prozesses ist und nicht ein plötzlicher Anstieg.“
„Die Verwendung verschiedener EDR-Killer-Tools, wie z. B. EDRKillShifter durch Gruppen wie RansomHub, spiegelt wahrscheinlich dieses ständige Experimentieren wider. Es ist auch möglich, dass verschiedene Partner beteiligt sind, was die Verwendung unterschiedlicher Methoden erklären könnte, obwohl wir ohne konkrete Informationen nicht zu sehr darüber spekulieren möchten.“