ESET Forscher haben die jüngsten Aktivitäten der CosmicBeetle erforscht. Dabei wurde die neue Ransomware ScRansom dokumentiert und Verbindungen zu anderen etablierten Ransomware-Gangs aufgezeigt.

CosmicBeetle setzt ScRansom aktiv bei KMU in verschiedenen Teilen der Welt ein. Damit war die Gruppe in der Lage, interessante Ziele auf der ganzen Welt zu kompromittieren.

CosmicBeetle hat seine zuvor eingesetzte Ransomware Scarab durch ScRansom ersetzt und verbessert sie kontinuierlich. Wir haben auch beobachtet, dass der Bedrohungsakteur den durchgesickerten LockBit-Builder verwendet und versucht, den Ruf von LockBit auszunutzen, indem er sich sowohl in den Erpresserbriefen als auch auf der Leak-Site als die berüchtigte Ransomware-Gang ausgibt.

Darüber hinaus gehen wir davon aus, dass CosmicBeetle ein neues Mitglied von RansomHub ist, einer neuen Ransomware-Gang, die seit März 2024 aktiv ist und deren Aktivitäten rasch zunehmen.

 

Die wichtigsten Punkte des Blogposts:
  • CosmicBeetle ist auch im Jahr 2024 noch aktiv und verbessert und verbreitet seine benutzerdefinierte Ransomware, ScRansom, kontinuierlich.
  • CosmicBeetle hat mit dem geleakten LockBit-Builder experimentiert und versucht, dessen Marke zu missbrauchen.
  • CosmicBeetle ist möglicherweise eine neue Tochtergesellschaft des Ransomware-as-a-Service-Anbieters RansomHub.
  • CosmicBeetle nutzt jahrealte Schwachstellen aus, um in KMU auf der ganzen Welt einzubrechen.

Überblick

CosmicBeetle, aktiv seit mindestens 2020, ist der Name, den ESET-Forscher einem Bedrohungsakteur zugewiesen haben. Entdeckt wurde er im Jahr 2023. Die Gruppe ist vor allem für die Verwendung seiner benutzerdefinierten Sammlung von Delphi-Tools bekannt, die gemeinhin Spacecolon genannt werden und aus ScHackTool, ScInstaller, ScService und ScPatcher bestehen. Im August 2023 veröffentlichten die ESET Forscher ihre Erkenntnisse über CosmicBeetle. Kurz vor der Veröffentlichung tauchte eine neue benutzerdefinierte Ransomware mit dem Namen ScRansom auf, von der wir annehmen, dass sie mit CosmicBeetle in Verbindung steht. Seitdem haben wir weitere Gründe gefunden, die uns von dieser Verbindung überzeugen. Wir gehen deshalb davon aus, dass ScRansom nun die bevorzugte Ransomware dieser Gruppe ist und die zuvor verwendete Scarab-Ransomware ersetzt.

Zum Zeitpunkt der Veröffentlichung im Jahr 2023 hatten wir noch keine Aktivitäten in freier Wildbahn beobachtet. Das änderte sich jedoch kurz darauf. CosmicBeetle hat ScRansom seitdem an kleine und mittlere Unternehmen (KMU) verbreitet, hauptsächlich in Europa und Asien.

ScRansom ist keine besonders ausgefeilte Ransomware, dennoch konnte CosmicBeetle interessante Ziele kompromittieren und ihnen großen Schaden zufügen. Vor allem weil CosmicBeetle ein unausgereifter Akteur in der Welt der Ransomware ist, gibt es Probleme bei der Verbreitung von ScRansom. Opfer, die von ScRansom betroffen sind und sich zur Zahlung entschließen, sollten Vorsicht walten lassen. Während der Entschlüsseler selbst wie erwartet funktioniert (zum Zeitpunkt der Erstellung dieses Artikels), sind oft mehrere Entschlüsselungsschlüssel erforderlich, und einige Dateien können dauerhaft verloren gehen, je nachdem, wie CosmicBeetle bei der Verschlüsselung vorgegangen ist.

CosmicBeetle versuchte teilweise, diese Probleme anzugehen oder besser gesagt zu verbergen, indem es sich als  LockBit ausgab, die wahrscheinlich berüchtigtste Ransomware-Gruppe der letzten Jahre. Durch den Missbrauch des Namens von LockBit hoffte CosmicBeetle, die Opfer besser zur Zahlung überreden zu können. CosmicBeetle nutzte auch den durchgesickerten LockBit Black Builder, um seine eigenen Muster mit einer Lösegeldforderung in türkischer Sprache zu erstellen.

Weitere Informationen zu CosmicBeetle und ScRansom finden Sie im englischen Original-Blogpost:

https://www.welivesecurity.com/en/eset-research/cosmicbeetle-steps-up-probation-period-ransomhub/