Исследователи Unit 42 опубликовали отчет о Repellent Scorpius, недавно появившейся группе ransomware-as-a-service (RaaS), активной с мая 2024 года, которая была замечена в распространении вымогательского ПО Cicada3301 в многоэпизодных атаках.
Repellent Scorpius
Группа быстро расширяется, набирая филиалы и брокеров начального доступа (IAB) через русскоязычные киберпреступные форумы. Repellent Scorpius использует двойную стратегию вымогательства: шифрует системы жертв и угрожает опубликовать украденные данные, если не будет выплачен выкуп. Исследователи Unit 42 обнаружили признаки, указывающие на то, что группа располагает данными, полученными в результате более ранних компрометаций, что свидетельствует о возможных связях с другими группами, занимающимися вымогательством, или о предыдущих операциях под другим именем.
Жизненный цикл атаки группы включает в себя первоначальный доступ через украденные учетные данные, выполнение полезной нагрузки ransomware через пакетные скрипты и PsExec, боковое перемещение с помощью команд PowerShell и эксфильтрацию данных с помощью таких инструментов, как Rclone. Вредоносная программа представляет собой 64-битный двоичный файл на основе языка Rust с возможностями завершения работы служб, удаления резервных копий и шифрования файлов. Недавние обновления шифровальщика включают новые функции для управления созданием записок с выкупом и усовершенствованные методы для нарушения работы целевых систем.
В настоящее время группа атакует различные сектора и регионы, однако она заявила об ограничении атак на страны СНГ. Развивающиеся тактики, техники и процедуры (TTP) Repellent Scorpius указывают на то, что группировка продолжает совершенствовать свои методы и может повысить свою активность и изощренность в ближайшем будущем. Исследователи из Unit 42 ожидают роста числа инцидентов с вымогательством Cicada3301, которые затронут все больше жертв, поскольку группировка продолжает развивать свою партнерскую сеть и операционные возможности.
Indicators of Compromise
SHA256
- 0260258f6f083aff71c7549a6364cb05d54dd27f40ca1145e064353dd2a9e983
- 2d73b3aefcfbb47c1a187ddee7a48a21af7c85eb49cbdcb665db07375e36dc33
- 3969e1a88a063155a6f61b0ca1ac33114c1a39151f3c7dd019084abd30553eab
- 56e1d092c07322d9dad7d85d773953573cc3294b9e428b3bbbaf935ca4d2f7e7
- 8ec114b29c7f2406809337b6c68ab30b0b7f0d1647829d56125e84662b84ea74
