ScRansom ランサムウェア
CosmicBeetle として知られる脅威アクターは、ScRansom と呼ばれる新しいカスタム ランサムウェアの亜種を導入しました。これは、特にヨーロッパ、アジア、アフリカ、南米の中小企業 (SMB) をターゲットにしています。さらに、CosmicBeetle はRansomHubグループの関連組織として活動している疑いがあります。
CosmicBeetle はこれまでScarab ランサムウェアを使用していましたが、現在は開発中の ScRansom に移行しています。ランサムウェアの高度化の最前線にいるわけではありませんが、このグループは依然として注目すべき標的を侵害することに成功しています。
目次
CosminBeetleは多様な分野をターゲットにしている
ScRansom 攻撃は、製造、製薬、法律、教育、ヘルスケア、テクノロジー、ホスピタリティ、レジャー、金融サービス、地方自治体など、幅広い分野を標的にしています。
CosmicBeetle(別名NONAME)は、脅威的なツールキットSpacecolonで最もよく知られています。これは、以前、世界中の被害者にScarabランサムウェアを配信するために使用されていました。このグループは、漏洩したLockBitビルダーを試し、2023年11月には身代金要求メモや漏洩サイトで悪名高いLockBitランサムウェアグループになりすまそうとしたことでも知られています。
攻撃者の身元と出身地は不明のままです。以前の説では、ScHackTool と呼ばれる別のツールで見つかったカスタム暗号化方式により、攻撃者はトルコ出身である可能性が示唆されていましたが、現在では可能性は低いと考えられています。
サイバー犯罪者による複数の脆弱性の悪用
ブルートフォース攻撃といくつかの既知のセキュリティ脆弱性 (CVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475、CVE-2023-27532) を悪用してターゲット環境に侵入する攻撃チェーンが観察されています。
侵入には、Delphi ベースの ScRansom ランサムウェアを展開する前に、Reaper、 Darkside 、RealBlindingEDR などのさまざまなツールを使用してセキュリティ プロセスを終了し、検出を回避することも含まれています。ScRansom は、暗号化プロセスを高速化するために部分的な暗号化を特徴としており、ファイルを定数値で上書きして回復不能にする「ERASE」モードが含まれています。
RansomHub への接続の可能性
RansomHub との関連は、情報セキュリティ研究者による観察から生じており、彼らは ScRansom と RansomHub のペイロードが 1 週間以内に同じマシンに展開されたことを発見しました。カスタム ランサムウェアをゼロから開発するという課題に直面した CosmicBeetle は、LockBit の評判を利用しようとしたようです。この戦略は、ランサムウェアの欠陥を隠蔽し、被害者が身代金を支払う可能性を高めることを意図している可能性があります。
ランサムウェア運営者が有害なツールを更新
2024 年 7 月以降、 Cicada3301 ランサムウェア(別名 Repellent Scorpius) に関連する脅威アクターが、暗号化ツールの更新バージョンを使用していることが確認されています。この新しいバージョンには、暗号化ツールがシステムに身代金要求メッセージを書き込むことを防ぐコマンドライン引数 --no-note が含まれています。
さらに、更新された暗号化プログラムでは、バイナリ内にハードコードされたユーザー名やパスワードは含まれなくなりました。ただし、既存の認証情報を使用して PsExec を実行することはできます。これは、Morphisec が最近指摘した手法です。興味深いことに、情報セキュリティ研究者は、このグループが Cicada3301 の名前で活動する前に発生した古い侵害のデータを持っている可能性があることを示す証拠を検出しました。
これにより、脅威アクターが以前に別のランサムウェアブランドで活動していたり、他のランサムウェアグループからデータを取得していた可能性が高まります。
