O ator de ameaças conhecido como CosmicBeetle estreou uma nova cepa de ransomware personalizada chamada ScRansom em ataques direcionados a pequenas e médias empresas (PMEs) na Europa, Ásia, África e América do Sul, trabalhando também provavelmente como afiliado do RansomHub.
“CosmicBeetle substituiu seu ransomware anteriormente implementado, Scarab, pelo ScRansom, que está em contínua melhoria,” afirmou o pesquisador da ESET Jakub Souček em uma nova análise publicada hoje.
Apesar de não ser de primeira linha, o ator de ameaça é capaz de comprometer alvos interessantes. Os alvos dos ataques de ScRansom abrangem setores de manufatura, farmacêutico, jurídico, educação, saúde, tecnologia, hospitalidade, lazer, serviços financeiros e governos regionais.
CosmicBeetle é mais conhecido por um conjunto de ferramentas maliciosas chamado Spacecolon que foi previamente identificado como usado para entregar o ransomware Scarab em organizações vítimas globalmente.
Também conhecido como NONAME, o adversário tem um histórico de experimentar com o construtor LockBit vazado na tentativa de se passar pela infame gangue de ransomware em suas notas de resgate e site de vazamento desde novembro de 2023.
Atualmente, não está claro quem está por trás do ataque ou de onde são, embora uma hipótese anterior tenha sugerido que eles poderiam ser de origem turca devido à presença de um esquema de criptografia personalizado usado em outra ferramenta denominada ScHackTool.
No entanto, a ESET suspeita que a atribuição não seja mais válida.
"O esquema de criptografia do ScHackTool é utilizado no legítimo Disk Monitor Gadget," Souček apontou.
É provável que este algoritmo tenha sido adaptado [de um tópico no Stack Overflow] pela VOVSOFT [a empresa de software turca por trás da ferramenta] e, anos mais tarde, CosmicBeetle se deparou com ele e o usou para o ScHackTool.
Cadeias de ataque foram observadas tirando vantagem de ataques de brute-force e falhas de segurança conhecidas (
CVE-2017-0144
,
CVE-2020-1472
,
CVE-2021-42278
,
CVE-2021-42287
,
CVE-2022-42475
e
CVE-2023-27532
) para infiltrar ambientes alvo.
As intrusões envolvem ainda o uso de várias ferramentas como Reaper, Darkside e RealBlindingEDR para terminar processos relacionados à segurança para evitar detecção antes de implantar o ransomware ScRansom, baseado em Delphi, que vem com suporte para criptografia parcial para acelerar o processo e um modo "ERASE" para tornar os arquivos irrecuperáveis ao sobrescrevê-los com um valor constante.
A conexão com o RansomHub surge do fato de a empresa eslovaca de cibersegurança ter detectado a implantação de payloads ScRansom e RansomHub na mesma máquina dentro de uma semana.
“Provavelmente devido aos obstáculos que escrever um ransomware personalizado do zero traz, CosmicBeetle tentou se aproveitar da reputação do LockBit, possivelmente para mascarar as falhas no ransomware subjacente e, por sua vez, aumentar a chance de que as vítimas paguem,” disse Souček.
A divulgação ocorre enquanto atores de ameaças ligados ao ransomware Cicada3301 (também conhecido como Repellent Scorpius) foram observados usando uma versão atualizada do encriptador desde julho de 2024.
“Os autores da ameaça adicionaram um novo argumento de linha de comando, --no-note,” disse a Unidade 42 da Palo Alto Networks em um relatório compartilhado.
Quando este argumento é invocado, o encriptador não escreverá a nota de resgate no sistema. Outra modificação importante é a ausência de usernames ou senhas codificadas no binário, embora ainda retenha a capacidade de executar PsExec usando essas credenciais, se existirem, uma técnica recentemente destacada pela Morphisec.
Em uma reviravolta interessante, a fornecedora de cibersegurança disse que observou sinais de que o grupo possui dados obtidos de incidentes de comprometimento mais antigos que precedem a operação do grupo sob a marca Cicada3301.
Isso levantou a possibilidade de que o ator de ameaça possa ter operado sob uma marca de ransomware diferente, ou comprado os dados de outros grupos de ransomware.
Dito isso, a Unidade 42 notou que identificou algumas sobreposições com outro ataque realizado por um afiliado que implantou o ransomware BlackCat em março de 2022.
Os achados também seguem uma evolução de um driver Windows de modo kernel assinado usado por várias gangues de ransomware para desligar softwares de Endpoint Detection and Response (EDR) que permite que ele aja como um wiper para deletar componentes críticos associados a essas soluções, ao invés de apenas terminá-los.
O malware em questão é POORTRY, que é entregue por meio de um loader chamado STONESTOP para orquestrar um ataque Bring Your Own Vulnerable Driver (BYOVD), efetivamente contornando as salvaguardas de Driver Signature Enforcement.
Sua capacidade de “forçar a exclusão” de arquivos em disco foi notada pela primeira vez pela Trend Micro em maio de 2023.
POORTRY, detectado desde 2021, também é referido como BURNTCIGAR, e tem sido usado por várias gangues de ransomware, incluindo CUBA, BlackCat, Medusa, LockBit, e RansomHub ao longo dos anos.
“Tanto o executável Stonestop quanto o driver Poortry são fortemente compactados e ofuscados,” disse a Sophos em um relatório recente.
Este loader foi ofuscado por um packer de código fechado chamado ASMGuard, disponível no GitHub. POORTRY é “focado em desabilitar produtos EDR através de uma série de técnicas diferentes, como a remoção ou modificação de rotinas de notificação do kernel.
O EDR killer visa terminar processos relacionados à segurança e tornar o agente EDR inútil ao apagar arquivos críticos do disco.” Os drivers maliciosos aproveitam o que a empresa descreveu como uma "quantidade praticamente ilimitada de certificados de assinatura de código roubados ou usados inadequadamente" para contornar as proteções de Verificação de Assinatura de Driver da Microsoft.
O uso de uma versão aprimorada de POORTRY pelo RansomHub merece atenção à luz do fato de que a equipe de ransomware também foi observada utilizando outra ferramenta killer de EDR apelidada de EDRKillShifter este ano.
Isso não é tudo.
O grupo de ransomware também foi detectado utilizando uma ferramenta legítima da Kaspersky chamada TDSSKiller para desarmar serviços EDR em sistemas alvo, indicando que os atores de ameaças estão incorporando vários programas com funcionalidades semelhantes em seus ataques.
"É importante reconhecer que os atores de ameaças têm sido consistentemente experimentais com diferentes métodos para desabilitar produtos EDR — uma tendência que estamos observando desde pelo menos 2022," informou a Sophos.
Esta experimentação pode envolver várias táticas, como explorar drivers vulneráveis ou usar certificados que foram vazados involuntariamente ou obtidos por meios ilegais.
Embora possa parecer que há um aumento significativo nessas atividades, é mais preciso dizer que isso faz parte de um processo contínuo em vez de um aumento repentino.
O uso de diferentes ferramentas killer de EDR, como EDRKillShifter por grupos como RansomHub, provavelmente reflete essa experimentação contínua.
Também é possível que diferentes afiliados estejam envolvidos, o que poderia explicar o uso de métodos variados, embora sem informações específicas, não gostaríamos de especular demais sobre esse ponto.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...