CosmicBeetle implementeert aangepaste ScRansom-ransomware, in samenwerking met RansomHub

De kwaadwillende partij die bekendstaat als CosmicBeetle heeft een nieuwe, aangepaste ransomware-variant gelanceerd met de naam ScRansom. Deze ransomware is gericht op kleine en middelgrote bedrijven (MKB) in Europa, Azië, Afrika en Zuid-Amerika. De aanval is waarschijnlijk ook uitgevoerd als partner van RansomHub.

“CosmicBeetle verving zijn eerder geïmplementeerde ransomware, Scarab, met ScRansom, dat voortdurend wordt verbeterd,” zei ESET-onderzoeker Jakub Souček in een nieuwe analyse die vandaag werd gepubliceerd. “Hoewel het niet van topklasse is, is de dreigingsactor in staat om interessante doelen te compromitteren.”

Doelwitten van ScRansom-aanvallen zijn onder meer de productiesector, farmaceutische industrie, de juridische sector, het onderwijs, de gezondheidszorg, de technologiesector, de horeca, de vrijetijdssector, de financiële dienstverlening en regionale overheden.

CosmicBeetle is vooral bekend vanwege een schadelijke toolset genaamd Spacecolon. Deze zou eerder zijn gebruikt voor het verspreiden van de Scarab-ransomware naar slachtofferorganisaties over de hele wereld.

De tegenstander, ook bekend als NONAME, heeft al sinds november 2023 geëxperimenteerd met de gelekte LockBit-builder in een poging zich in zijn losgeldberichten en leksite voor te doen als de beruchte ransomware-bende.

Het is momenteel niet duidelijk wie er achter de aanval zit of waar ze vandaan komen, hoewel een eerdere hypothese impliceerde dat ze van Turkse afkomst zouden kunnen zijn vanwege de aanwezigheid van een aangepast encryptieschema dat wordt gebruikt in een andere tool genaamd ScHackTool. ESET vermoedt echter dat de toeschrijving niet langer standhoudt.

“Het encryptieschema van ScHackTool wordt gebruikt in de legitieme Disk Monitor Gadget,” merkte Souček op. “Het is waarschijnlijk dat dit algoritme is aangepast (van een Stack Overflow-thread) door VOVSOFT (het Turkse softwarebedrijf achter de tool) en dat CosmicBeetle het jaren later toevallig tegenkwam en gebruikte voor ScHackTool.”

Er zijn aanvalsketens waargenomen die misbruik maken van brute-force-aanvallen en bekende beveiligingslekken (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 en CVE-2023-27532) om doelomgevingen te infiltreren.

Bij de inbraken worden bovendien verschillende tools gebruikt, zoals Reaper, Darkside en RealBlindingEDR, om beveiligingsprocessen te beëindigen en zo detectie te omzeilen voordat de op Delphi gebaseerde ScRansom-ransomware wordt geïmplementeerd. Deze ransomware ondersteunt gedeeltelijke encryptie om het proces te versnellen en beschikt over een ‘ERASE’-modus om de bestanden onherstelbaar te maken door ze te overschrijven met een constante waarde.

ScRansom-ransomware

De connectie met RansomHub komt voort uit het feit dat het Slowaakse cybersecuritybedrijf binnen een week de implementatie van ScRansom- en RansomHub-payloads op dezelfde machine ontdekte.

“Waarschijnlijk vanwege de obstakels die het schrijven van aangepaste ransomware met zich meebrengt, probeerde CosmicBeetle te profiteren van de reputatie van LockBit. Mogelijk wilde men hiermee de problemen in de onderliggende ransomware maskeren en zo de kans vergroten dat slachtoffers zouden betalen”, aldus Souček.

Cicada3301 brengt bijgewerkte versie uit

De onthulling komt nadat sinds juli 2024 is waargenomen dat cybercriminelen die verband houden met de Cicada3301-ransomware (ook bekend als Repellent Scorpius) een bijgewerkte versie van de encryptietool gebruiken.

“Threat-auteurs hebben een nieuw command-line argument toegevoegd, –no-note,” zei Palo Alto Networks Unit 42 in een rapport dat gedeeld werd met The Hacker News. “Wanneer dit argument wordt aangeroepen, zal de encryptor de losgeldnota niet naar het systeem schrijven.”

Een andere belangrijke aanpassing is het ontbreken van hard gecodeerde gebruikersnamen of wachtwoorden in het binaire bestand. Het is echter nog steeds mogelijk om PsExec uit te voeren met behulp van deze referenties als deze bestaan. Deze techniek is onlangs door Morphisec onder de aandacht gebracht.

In een interessante wending zei de leverancier van cyberbeveiliging dat het tekenen had gezien dat de groep gegevens had verkregen uit oudere inbreuken die dateren van vóór de periode dat de groep onder de merknaam Cicada3301 opereerde.

Dit heeft de mogelijkheid doen ontstaan ​​dat de dreigingsactor onder een ander ransomwaremerk heeft geopereerd of de gegevens van andere ransomwaregroepen heeft gekocht. Dat gezegd hebbende, merkte Unit 42 op dat het enkele overlappingen identificeerde met een andere aanval die werd uitgevoerd door een partner die BlackCat-ransomware in maart 2022 implementeerde.

BURNTCIGAR wordt een EDR Wiper

De bevindingen volgen ook op een evolutie van een ondertekende Windows-driver in de kernelmodus die door meerdere ransomware-bendes wordt gebruikt om Endpoint Detection and Response (EDR)-software uit te schakelen. Hierdoor kan de software als een wiper fungeren voor het verwijderen van cruciale componenten die aan die oplossingen zijn gekoppeld, in plaats van ze te beëindigen.

De malware in kwestie is POORTRY, die wordt geleverd via een loader genaamd STONESTOP om een ​​Bring Your Own Vulnerable Driver (BYOVD)-aanval te orkestreren, waarmee Driver Signature Enforcement-beveiligingen effectief worden omzeild. De mogelijkheid om bestanden op schijf te “forceren” werd voor het eerst opgemerkt door Trend Micro in mei 2023.

POORTRY, dat al in 2021 werd ontdekt, staat ook wel bekend als BURNTCIGAR en is in de loop der jaren gebruikt door meerdere ransomware-bendes, waaronder CUBA, BlackCat, Medusa, LockBit en RansomHub.

“Zowel de Stonestop executable als de Poortry driver zijn zwaar gepakt en verduisterd”, zei Sophos in een recent rapport. “Deze loader werd verduisterd door een closed-source packer genaamd ASMGuard, beschikbaar op GitHub.”

POORTRY is “gericht op het uitschakelen van EDR-producten via een reeks verschillende technieken, zoals het verwijderen of wijzigen van kernel-notificatieroutines. De EDR-killer is gericht op het beëindigen van beveiligingsgerelateerde processen en het onbruikbaar maken van de EDR-agent door kritieke bestanden van de schijf te wissen.”

Het gebruik van een verbeterde versie van POORTRY door RansomHub is opmerkelijk, aangezien dit jaar is waargenomen dat de ransomware-crew ook een andere EDR-killertool gebruikte, genaamd EDRKillShifter.

“Het is belangrijk om te erkennen dat dreigingsactoren voortdurend experimenteren met verschillende methoden om EDR-producten uit te schakelen — een trend die we al sinds ten minste 2022 waarnemen,” vertelde Sophos aan The Hacker News. “Deze experimenten kunnen verschillende tactieken omvatten, zoals het exploiteren van kwetsbare drivers of het gebruiken van certificaten die onbedoeld zijn gelekt of op illegale wijze zijn verkregen.”

“Hoewel het misschien lijkt alsof er sprake is van een aanzienlijke toename van deze activiteiten, is het juister om te zeggen dat dit deel uitmaakt van een doorlopend proces en niet van een plotselinge toename.”

“Het gebruik van verschillende EDR-killer tools, zoals EDRKillShifter door groepen als RansomHub, weerspiegelt waarschijnlijk deze voortdurende experimenten. Het is ook mogelijk dat verschillende filialen betrokken zijn, wat het gebruik van verschillende methoden zou kunnen verklaren, hoewel we zonder specifieke informatie niet te veel over dat punt willen speculeren.”

Thijs Van der Does