Si chiama CosmicBeetle il ransomware esordiente specializzato negli attacchi contro le PMI, sfruttando falle note di cui non sono state installate le patch.
Autore: Redazione SecurityOpenLab
Un gruppo ransomware sta affinando la propria capacità offensiva contro le PMI di Europa e Asia, causando danni significativi. Le sue vittime ideali sono le aziende con scarsi processi di gestione delle patch. Il gruppo in questione si chiama CosmicBeetle, l’arma che impiega è soprannominata ScRansom e a monitorarne le attività sono gli esperti della Threat Intelligence di ESET.
CosmicBeetle non è uno sconosciuto: si è distinto per il tentativo di impersonare il gruppo ransomware LockBit, inoltre ESET lo ritiene affiliato all’emergete gruppo Ransomware-as-a-service (RaaS) RansomHub, attivo dal marzo 2024. Nel mondo del cybercrime questo gruppo è noto anche per aver sviluppato il ransomware Scarab, di cui sembra aver ora migliorato la capacità offensiva con il suo nuovo prodotto, ScRansom, particolarmente efficace nel compromettere organizzazioni di piccole e medie dimensioni.
Dal punto di vista tecnico, ScRansom è scritto in Delphi e fa uso della libreria IPWorks per la cifratura. La sua evoluzione è stata costante sin dalla sua prima comparsa, con miglioramenti progressivi nell’efficacia e nella complessità del codice. Secondo gli analisti gli attacchi osservati con questa arma sfruttano metodi di accesso consolidati, che spesso consistono nello sfruttamento di vulnerabilità note e non adeguatamente risolte dalle vittime, come CVE-2017-0144 (EternalBlue) e CVE-2020-1472 (Zerologon).
Vale la pena fare un breve focus sulla cifratura, perché è una caratteristica importante di ScRansom. Il suo funzionamento è strutturato su cinque modalità di crittografia differenti: Fast, Fastest, Slow, Full ed Erase, con quest’ultima che rappresenta una minaccia particolare poiché sovrascrive permanentemente alcune porzioni dei file, rendendoli irrecuperabili. A seconda della modalità utilizzata, la decodifica dei file può risultare più o meno complessa, soprattutto perché CosmicBeetle spesso richiede più chiavi di decifrazione per ripristinare i dati.
Sempre a tema cifratura, gli analisti di ESET segnalano un problema di inadeguatezza del decryptor di ScRansom, che è un bel guaio per le vittime: qualora pagassero il riscatto, si troverebbero a dover gestire una quantità tale di chiavi di decifratura e Decryption ID da rendere il processo di recupero dei dati estremamente complesso. Sono molti i casi in cui i file non vengono recuperati completamente, con conseguenti perdite irreversibili.
ScRansom è progettato per terminare una serie di processi e servizi sul sistema compromesso, fra cui le soluzioni di Endpoint Detection and Response (EDR). Si tratta di una skill che è stata affinata nel corso del tempo, tanto da portare alla creazione di uno strumento dedicato che si chiama ScKill, il cui unico scopo è proprio la chiusura dei processi di sicurezza, così che ScRansom possa svolgere la cifratura dei dati senza ostacoli.
La sensazione è che il percorso di crescita di CosmicBeetle non sia ancora all’apice. La mancanza di maturità del gruppo si riflette nell’inefficiente gestione delle chiavi di decifratura, che ostacola il recupero dei dati da parte delle vittime e per questo riduce l'efficacia delle sue richieste di riscatto.