ESET Research: CosmicBeetle si allea con altri gruppi di ransomware e prende di mira le aziende in Europa e Asia

 ESET Research: CosmicBeetle si allea con altri gruppi di ransomware e prende di mira le aziende in Europa e Asia

I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno mappato le recenti attività del gruppo di minacce CosmicBeetle, documentando l’uso del nuovo ransomware ScRansom e rivelando collegamenti con altri gruppi di ransomware consolidati. CosmicBeetle ha diffuso ransomware contro piccole e medie imprese (PMI), principalmente in Europa e Asia.

ESET Research ha osservato che l’attore della minaccia ha utilizzato il builder di LockBit reso pubblico e ha cercato di sfruttare la reputazione del ransomware. Oltre a LockBit, ESET ritiene che CosmicBeetle sia probabilmente un nuovo affiliato dell’attore ransomware-as-a-service RansomHub, un nuovo gruppo di ransomware attivo da marzo 2024 con un’attività in rapida crescita.

“Probabilmente a causa delle difficoltà che comporta scrivere da zero un ransomware personalizzato, CosmicBeetle ha cercato di sfruttare la reputazione di LockBit, forse per mascherare i problemi nel ransomware sottostante e aumentare così la probabilità che le vittime siano disposte a pagare”, afferma Jakub Souček, il ricercatore di ESET che ha analizzato le ultime attività di CosmicBeetle. “Inoltre, di recente, abbiamo osservato il dispiegamento dei payload di ScRansom e RansomHub sulla stessa macchina a distanza di una settimana. L’esecuzione di RansomHub è stata insolita rispetto ai casi tipici che abbiamo osservato nella telemetria di ESET, ma molto simile al modus operandi di CosmicBeetle. Poiché non ci sono fughe di dati pubbliche relative a RansomHub, riteniamo con una certa sicurezza che CosmicBeetle possa essere un affiliato recente”, aggiunge Souček.

CosmicBeetle spesso utilizza tecniche brute-force per violare i suoi obiettivi. Inoltre, sfrutta varie vulnerabilità note. Le piccole e medie imprese di vari settori in tutto il mondo sono le vittime più comuni di questo attore di minacce, poiché questo è il segmento che con maggiore probabilità utilizza software vulnerabile o non dispone di processi di gestione delle patch robusti.

ESET Research ha osservato attacchi contro PMI nei seguenti settori: manifatturiero, farmaceutico, legale, istruzione, sanità, tecnologia, ospitalità, servizi finanziari e governi regionali.

Oltre a crittografare i dati, ScRansom può anche terminare vari processi e servizi sulla macchina infetta. ScRansom non è un ransomware molto sofisticato, ma CosmicBeetle è stato comunque in grado di compromettere obiettivi interessanti e causare danni significativi. Questo è dovuto principalmente al fatto che CosmicBeetle è ancora un attore immaturo nel mondo del ransomware, e la distribuzione di ScRansom è affetta da diversi problemi. Le vittime colpite da ScRansom, che decidono di pagare, dovrebbero agire con cautela.

ESET Research è riuscita a ottenere un decryptor implementato da CosmicBeetle per il suo recente schema di crittografia. ScRansom è in continuo sviluppo, il che complica ulteriormente le cose. La crittografia e la decrittazione sono processi molto complessi e soggetti a errori, e questo rende difficile garantire il recupero completo dei file. La riuscita della decrittazione dipende dal corretto funzionamento del decryptor e dal fatto che CosmicBeetle fornisca tutte le chiavi necessarie, e anche in quel caso, alcuni file potrebbero essere distrutti permanentemente. Anche nel migliore dei casi, la decrittazione è lunga e complicata.

CosmicBeetle, attivo almeno dal 2020, è il nome dato da ESET Research a un gruppo di cybercriminali scoperto nel 2023. Questo gruppo è noto soprattutto per l’utilizzo di una serie di strumenti personalizzati sviluppati in Delphi, chiamata Spacecolon che include ScHackTool, ScInstaller, ScService e ScPatcher. Per maggiori informazioni tecniche sull’ultima attività di CosmicBeetle, consultare il blog “CosmicBeetle steps up: Probation period at RansomHub” su WeLiveSecurity.com. Seguite ESET Research su Twitter (oggi conosciuto come X) per le ultime notizie da ESET Research.

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.