Кіберзлочинці під назвою CosmicBeetle здійснюють напади на підприємства в Європі та Азії.
ESET виявила новий вид програм-вимагача під назвою ScRansom, який активно розповсюджувався хакерською групою CosmicBeetle, орієнтуючись на малий та середній бізнес, переважно в Європі та Азії. Крім того, існує ймовірність, що CosmicBeetle є частиною нової мережі програм-вимагачів RansomHub, яка розпочала свою діяльність у березні 2024 року та пропонує свої послуги у вигляді програм-вимагачів.
"Можливо, CosmicBeetle вирішила скористатися успіхом відомої програми-вимагача LockBit, щоб приховати недоліки своєї власної розробки, що, зрештою, може підвищити шанси на те, що жертви погодяться на виплату викупу," - зазначає Якуб Соучек, дослідник компанії ESET.
Окрім того, експерти зафіксували, що компоненти ScRansom і RansomHub були розгорнуті на одному і тому ж пристрої з тижневим інтервалом. Використання RansomHub в цьому випадку було надзвичайно незвичним у порівнянні з типовими ситуаціями, виявленими телеметрією ESET, проте нагадувало методи, які застосовує CosmicBeetle. Відсутність публічних витоків інформації щодо RansomHub викликає припущення, що CosmicBeetle може бути їхньою новою розробкою.
CosmicBeetle часто використовує метод підбору пароля для атак своїх цілей. Крім того, кіберзлочинці використовують різні відомі уразливості. Найчастіше жертвами цієї загрози стають малі та середні підприємства з різних галузей у всьому світі, оскільки цей сегмент більш ймовірно використовує неоновлене програмне забезпечення або не має надійного управління виправленнями. Зокрема дослідники ESET виявили атаки на компанії в таких галузях: виробництво, фармацевтика, юридичний сектор, освіта, охорона здоров'я, технології, індустрія гостинності, фінансові послуги та регіональні державні установи.
Окрім шифрування даних, загроза ScRansom здатна також зупиняти різноманітні процеси та служби на зараженій системі. Цей програмний вимагач є досить простим у своїй архітектурі, проте команда CosmicBeetle змогла націлитися на цікаві об'єкти та завдати їм значної шкоди. Це відбувається, зокрема, через те, що CosmicBeetle є новим учасником в арені програм-вимагачів, і в процесі розгортання ScRansom виникають певні труднощі.
Дослідники компанії ESET змогли створити дешифратор для новітньої схеми шифрування, розробленої CosmicBeetle. Складний характер процесів шифрування і дешифрування може призвести до виникнення помилок, що ускладнює відновлення всіх файлів. Успіх дешифрування залежить від коректного функціонування дешифратора та наявності всіх необхідних ключів від CosmicBeetle. Проте навіть у цьому випадку зловмисник може остаточно знищити деякі файли. У найкращому сценарії, процес дешифрування залишається тривалим і складним.
Слід підкреслити, що CosmicBeetle є активною загрозою щонайменше з 2020 року. Вона здобула популярність завдяки використанню унікального набору інструментів Delphi, званого Spacecolon, до якого входять ScHackTool, ScInstaller, ScService та ScPatcher.
Для запобігання подібним атакам та своєчасного виявлення будь-якої шкідливої активності варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR).
