L’acteur malveillant connu sous le nom de CosmicBeetle a lancé une nouvelle souche de ransomware personnalisée appelée ScRansom dans des attaques ciblant les petites et moyennes entreprises (PME) en Europe, en Asie, en Afrique et en Amérique du Sud, tout en travaillant probablement également en tant qu’affilié pour RansomHub.
« CosmicBeetle a remplacé son ransomware précédemment déployé, Scarab, par ScRansom, qui est continuellement amélioré », a déclaré Jakub Souček, chercheur à l’ESET. dit dans une nouvelle analyse publiée aujourd’hui. « Bien que n’étant pas de premier ordre, l’acteur de la menace est capable de compromettre des cibles intéressantes. »
Les cibles des attaques ScRansom couvrent les secteurs de la fabrication, des produits pharmaceutiques, du droit, de l’éducation, de la santé, de la technologie, de l’hôtellerie, des loisirs, des services financiers et du gouvernement régional.
CosmicBeetle est surtout connu pour un ensemble d’outils malveillants appelé Spacecolon, qui a été précédemment identifié comme étant utilisé pour diffuser le ransomware Scarab dans les organisations victimes du monde entier.
Également connu sous le nom de NONAME, l’adversaire a pour habitude d’expérimenter avec le constructeur LockBit divulgué dans le but de se faire passer pour le tristement célèbre gang de ransomware dans ses notes de rançon et son site de fuite dès novembre 2023.
On ne sait pas encore clairement qui est à l’origine de l’attaque ni d’où ils viennent, même si une hypothèse antérieure impliquait qu’ils pourraient être d’origine turque en raison de la présence d’un schéma de chiffrement personnalisé utilisé dans un autre outil appelé ScHackTool. ESET, cependant, soupçonne que cette attribution ne tient plus la route.
« Le schéma de cryptage de ScHackTool est utilisé dans le cadre légitime Gadget de surveillance de disque« , a souligné Souček. « Il est probable que cet algorithme ait été adapté [from a Stack Overflow thread] par VOVSOFT [the Turkish software firm behind the tool] et, des années plus tard, CosmicBeetle est tombé dessus et l’a utilisé pour ScHackTool. »
Des chaînes d’attaque ont été observées profitant d’attaques par force brute et de failles de sécurité connues (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475et CVE-2023-27532) pour infiltrer les environnements ciblés.
Les intrusions impliquent en outre l’utilisation de divers outils tels que Moissonneuse, Côté Obscuret RealBlindingEDR pour mettre fin aux processus liés à la sécurité afin d’éviter la détection avant de déployer le ransomware ScRansom basé sur Delphi, qui prend en charge le cryptage partiel pour accélérer le processus et un mode « ERASE » pour rendre les fichiers irrécupérables en les écrasant par une valeur constante.
Le lien avec RansomHub découle du fait que la société slovaque de cybersécurité a repéré le déploiement des charges utiles ScRansom et RansomHub sur la même machine en l’espace d’une semaine.
« Probablement en raison des obstacles que pose l’écriture d’un ransomware personnalisé à partir de zéro, CosmicBeetle a tenté de profiter de la réputation de LockBit, peut-être pour masquer les problèmes du ransomware sous-jacent et ainsi augmenter les chances que les victimes paient », a déclaré Souček.
Cicada3301 dévoile une version mise à jour
Cette divulgation intervient alors que des acteurs malveillants liés au ransomware Cicada3301 (alias Repellent Scorpius) ont été observés en train d’utiliser une version mise à jour du crypteur depuis juillet 2024.
« Les auteurs de menaces ont ajouté un nouvel argument de ligne de commande, –no-note », Palo Alto Networks Unit 42 dit dans un rapport partagé avec The Hacker News. « Lorsque cet argument est invoqué, le crypteur n’écrira pas la note de rançon sur le système. »
Une autre modification importante est l’absence de noms d’utilisateur ou de mots de passe codés en dur dans le binaire, bien qu’il conserve toujours la capacité d’exécuter PsExec en utilisant ces informations d’identification si elles existent, une technique mise en évidence récemment par Morphisec.
Dans un retournement de situation intéressant, le fournisseur de cybersécurité a déclaré avoir observé des signes indiquant que le groupe possède des données obtenues à partir d’incidents de compromis plus anciens, antérieurs à l’opération du groupe sous la marque Cicada3301.
Cela a soulevé la possibilité que l’acteur de la menace ait pu opérer sous une marque de ransomware différente ou ait acheté les données auprès d’autres groupes de ransomware. Cela étant dit, l’Unité 42 a noté qu’elle avait identifié certains chevauchements avec une autre attaque menée par une filiale qui a déployé le ransomware BlackCat en mars 2022.
BURNTCIGAR devient un essuie-glace EDR
Les résultats suivent également l’évolution d’un pilote Windows signé en mode noyau utilisé par plusieurs gangs de ransomware pour désactiver le logiciel Endpoint Detection and Response (EDR) qui lui permet d’agir comme un effaceur pour supprimer les composants critiques associés à ces solutions, au lieu de les terminer.
Le malware en question est POORTRY, qui est diffusé au moyen d’un chargeur nommé STONESTOP pour orchestrer une attaque BYOVD (Bring Your Own Vulnerable Driver), contournant ainsi efficacement les mesures de protection Driver Signature Enforcement. Sa capacité à « forcer la suppression » de fichiers sur le disque a été remarquée pour la première fois par Trend Micro en mai 2023.
POORTRY, détecté dès 2021, est également appelé BURNTCIGAR et a été utilisé par plusieurs gangs de ransomware, dont CUBA, BlackCat, Medusa, LockBit et RansomHub au fil des ans.
« L’exécutable Stonestop et le pilote Poortry sont tous deux très compactés et obscurcis », a déclaré Sophos. dit dans un rapport récent. « Ce chargeur a été obscurci par un packer à source fermée nommé ASMGuard, disponible sur GitHub. »
POORTRY se concentre sur la désactivation des produits EDR via une série de techniques différentes, telles que la suppression ou la modification des routines de notification du noyau. Le tueur EDR vise à mettre fin aux processus liés à la sécurité et à rendre l’agent EDR inutile en effaçant les fichiers critiques du disque.
L’utilisation d’une version améliorée de POORTRY par RansomHub mérite d’être signalée à la lumière du fait que l’équipe de ransomware a également été observée en train d’utiliser un autre outil de destruction EDR baptisé EDRKillShifter cette année.
« Il est important de reconnaître que les acteurs malveillants expérimentent constamment différentes méthodes pour désactiver les produits EDR, une tendance que nous observons depuis au moins 2022 », a déclaré Sophos à The Hacker News. « Ces expérimentations peuvent impliquer diverses tactiques, telles que l’exploitation de pilotes vulnérables ou l’utilisation de certificats qui ont été divulgués involontairement ou obtenus par des moyens illégaux. »
« Bien qu’il puisse sembler qu’il y ait une augmentation significative de ces activités, il est plus exact de dire qu’il s’agit d’un processus continu plutôt que d’une augmentation soudaine. »
« L’utilisation de différents outils de destruction d’EDR, tels qu’EDRKillShifter par des groupes comme RansomHub, reflète probablement cette expérimentation en cours. Il est également possible que différents affiliés soient impliqués, ce qui pourrait expliquer l’utilisation de méthodes variées, mais sans informations spécifiques, nous ne voudrions pas trop spéculer sur ce point. »