Evolução do ScRansom
O ScRansom substitui o Scarab, ransomware previamente usado pelo CosmicBeetle. Segundo análise publicada por Jakub Souček, pesquisador da ESET, o ScRansom está em constante evolução, embora ainda não seja uma das ferramentas mais sofisticadas no cenário cibernético. No entanto, ele tem sido eficaz em comprometer alvos estratégicos em diversos setores, como manufatura, saúde, educação, serviços financeiros, e até mesmo governos regionais.
Ferramentas e técnicas de ataque
O CosmicBeetle é amplamente conhecido por utilizar um conjunto de ferramentas maliciosas, sendo o mais notável o Spacecolon, que anteriormente distribuiu o ransomware Scarab globalmente. O grupo tem um histórico de experimentação com o construtor vazado do LockBit, buscando se passar por essa gangue famosa, tanto nas notas de resgate quanto nos sites de vazamento.
Os ataques com o ScRansom exploram uma combinação de técnicas de força bruta e vulnerabilidades conhecidas, como as falhas CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 e CVE-2023-27532, para invadir os ambientes das vítimas. O grupo também emprega ferramentas como Reaper e Darkside para desativar os processos de segurança, permitindo que o ransomware seja implantado sem detecção. O ScRansom também suporta criptografia parcial para agilizar o processo e inclui um modo “ERASE”, que sobrescreve os arquivos com valores constantes, tornando-os irrecuperáveis.
Parceria com RansomHub
A conexão entre CosmicBeetle e RansomHub foi descoberta quando a empresa de cibersegurança ESET identificou a presença de cargas maliciosas do ScRansom e do RansomHub na mesma máquina em um curto espaço de tempo. Segundo Souček, o CosmicBeetle provavelmente busca se aproveitar da reputação do LockBit e do RansomHub para aumentar as chances de pagamento dos resgates.
Ameaças emergentes e outras evoluções
Além do ScRansom, outros grupos de cibercriminosos continuam a evoluir suas ferramentas. O grupo Cicada3301 atualizou seu ransomware, introduzindo novos comandos que dificultam a detecção. Também foi observada a evolução de malwares como POORTRY (também conhecido como BURNTCIGAR), que desativa ferramentas de detecção e resposta de endpoints (EDR), permitindo que cibercriminosos eliminem arquivos críticos e ocultem suas atividades.
Essas ferramentas, muitas vezes entregues por meio de loaders como o STONESTOP, aproveitam vulnerabilidades e certificados de assinatura de código roubados ou mal utilizados, permitindo a execução de drivers maliciosos sem serem detectados. Além disso, grupos como o RansomHub têm incorporado múltiplas ferramentas para desativar soluções EDR, incluindo o uso de programas legítimos como o TDSSKiller, da Kaspersky, para realizar ataques mais eficazes.
Conclusão
O surgimento de novas variantes de ransomware, como o ScRansom, e a colaboração entre diferentes grupos criminosos mostram uma tendência crescente de sofisticação nos ataques cibernéticos. O uso de múltiplas técnicas para desabilitar ferramentas de defesa digital exige que as empresas fortaleçam suas defesas, mantenham seus sistemas atualizados e adotem uma postura proativa de cibersegurança.
Essas ameaças em constante evolução são um lembrete de que o cenário de ransomware está em contínua transformação, com grupos como o CosmicBeetle explorando novas maneiras de penetrar em sistemas e forçar o pagamento de resgates, muitas vezes de forma irreversível.
Fonte: https://thehackernews.com/2024/09/cosmicbeetle-deploys-custom-scransom.html
