.



ESET Research: CosmicBeetle groep bundelt krachten met andere ransomware bendes

ESET-Logo400300_Transparent

ESET-onderzoekers hebben de recente activiteiten van de dreigersgroep CosmicBeetle in kaart gebracht. Ze hebben gedocumenteerd hoe de nieuwe ScRansomware wordt ingezet en hebben verbanden ontdekt met andere gevestigde ransomwarebendes. CosmicBeetle heeft ransomware verspreid onder het mkb, voornamelijk in Europa en Azië. ESET Research heeft gezien dat de dreigende actor de gelekte LockBit-bouwer gebruikt en probeert om de reputatie van LockBit op het gebied van ransomware uit te buiten. Naast LockBit is CosmicBeetle volgens ESET waarschijnlijk een nieuw filiaal van ransomware-as-a-service actor RansomHub, een nieuwe ransomware bende actief sinds maart 2024 met snel toenemende activiteit.

“Waarschijnlijk vanwege de obstakels die het 'from scratch’ schrijven van aangepaste ransomware met zich meebrengt, probeerde CosmicBeetle te profiteren van de reputatie van LockBit, mogelijk om de problemen in de onderliggende ransomware te maskeren en op zijn beurt de kans te vergroten dat slachtoffers zullen betalen,” zegt ESET-onderzoeker Jakub Souček, die de nieuwste activiteit van CosmicBeetle analyseerde. “Daarnaast hebben we onlangs de inzet van ScRansom en RansomHub payloads op dezelfde machine waargenomen, slechts een week na elkaar. Deze uitvoering van RansomHub was zeer ongebruikelijk in vergelijking met de typische gevallen die we hebben gezien in de ESET-telemetrie, maar lijkt erg op de werkwijze van CosmicBeetle. Aangezien er geen openbare lekken van RansomHub zijn, doet dit ons met gemiddelde zekerheid geloven dat CosmicBeetle een recent onderdeel van hen kan zijn,” voegt Souček toe.

CosmicBeetle gebruikt vaak brute-force methoden om zijn doelwitten binnen te dringen. Daarnaast maakt het misbruik van verschillende bekende kwetsbaarheden. Het mkb uit allerlei sectoren over de hele wereld zijn de meest voorkomende slachtoffers van deze dreigingsaanvaller, omdat dit het segment is waar de kans het grootst is dat de getroffen software wordt gebruikt of waar geen krachtige patchbeheerprocessen aanwezig zijn. ESET Research heeft aanvallen waargenomen op mkb's in de volgende branches: productie, farmaceutica, juridische zaken, onderwijs, gezondheidszorg, technologie, horeca, financiële dienstverlening en regionale overheden.

Naast het versleutelen kan ScRansom ook verschillende processen en services op de getroffen machine uitschakelen. ScRansom is niet zeer geavanceerd, en CosmicBeetle is een ‘jonge‘ speler in de ransomware wereld, ook zijn er problemen met de implementatie van ScRansom. Desondanks heeft CosmicBeetle toch interessante doelwitten weten te compromitteren. Slachtoffers die getroffen zijn door ScRansom en besluiten om te betalen, moeten voorzichtig zijn.

ESET Research was in staat om een decryptor te verkrijgen die door CosmicBeetle is geïmplementeerd voor zijn recente versleutelingsschema. ScRansom wordt voortdurend verder ontwikkeld, wat nooit een goed teken is voor ransomware. De overcomplexiteit van het versleutelings- (en ontsleutelings-) proces is gevoelig voor fouten, waardoor herstel van alle bestanden twijfelachtig is. Succesvolle decryptie is afhankelijk van de goede werking van de decryptor en van CosmicBeetle die alle benodigde sleutels levert, en zelfs in dat geval kunnen sommige bestanden permanent worden vernietigd door de dreigingsactor. Zelfs in het beste geval duurt het ontsleutelen lang en is het ingewikkeld.

CosmicBeetle, actief sinds 2020, is de naam die ESET-onderzoekers toekenden aan een dreigingsacctor die in 2023 werd ontdekt. Deze dreigingsactor is vooral bekend vanwege het gebruik van zijn aangepaste verzameling Delphi-tools, gewoonlijk Spacecolon genoemd, bestaande uit ScHackTool, ScInstaller, ScService en ScPatcher.

Voor meer technische informatie over de laatste activiteiten van CosmicBeetle, bekijk de blogpost “CosmicBeetle steps up: Probation period at RansomHub” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Meer over
Lees ook
ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET Nederland, kondigt tijdens de  ONE Conference 2024 aan dat het zich heeft aangesloten bij het ransomwarebestrijding samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse andere private partijen. Het ransomwarebestrijding samenwerkingsverband, genaamd ‘M1

Zomercolumn: Van Ransomware-as-a-Service tot AI: ontwikkelingen in cybersecurity

Zomercolumn: Van Ransomware-as-a-Service tot AI: ontwikkelingen in cybersecurity

Het cybersecurity-landschap verandert snel, met nieuwe technieken en bedreigingen die voortdurend opduiken. Ze zijn van invloed op de beveiliging van digitale omgevingen en hoe organisaties zich hierop kunnen voorbereiden.

Barracuda: Laterale bewegingen een belangrijk detectiesignaal bij ransomware-aanval

Barracuda: Laterale bewegingen een belangrijk detectiesignaal bij ransomware-aanval

Uit onderzoek van Barracuda blijkt dat laterale bewegingen door de organisatie de duidelijkste signalen zijn van een beginnende ransomware-aanval: bijna de helft (44%) van de ransomware-aanvallen werd tijdens deze fase gedetecteerd. Een kwart (25%) van de incidenten werd gedetecteerd toen de aanvallers begonnen met het schrijven of wijzigen van be1