Исследователи ESET обнаружили новую программу-вымогатель ScRansom, созданную злоумышленником CosmicBeetle, который также связан с другими бандами, разработкой вымогательского ПО.
ScRansom Ransomware
CosmicBeetle активно распространяет ScRansom среди малых и средних предприятий в разных частях мира. Злоумышленник заменил предыдущую программу-вымогатель Scarab на ScRansom, которая постоянно улучшается. Исследователи также отмечают, что CosmicBeetle использует утечку сборки LockBit и представляет себя как известная группа разработчиков вымогателей. Кроме того, имеются свидетельства того, что CosmicBeetle может быть новым филиалом RansomHub - группы вымогателей, активной с марта 2024 года.
Деятельность CosmicBeetle за последний год свидетельствует о его активности и постоянном усовершенствовании программы-вымогателя ScRansom. Однако, из-за незрелости данного злоумышленника, при использовании ScRansom возникают проблемы, включая невозможность полного восстановления некоторых зашифрованных файлов. CosmicBeetle также пытается использовать репутацию LockBit, выдавая себя за эту группу и использовав торговую марку LockBit для убеждения жертв заплатить. Кроме того, существуют доказательства того, что CosmicBeetle может на самом деле быть филиалом RansomHub.
Компания ESET предоставляет атрибуцию ScRansom к CosmicBeetle. Наблюдения показывают пересечение развертывания ScRansom с другими инструментами, используемыми CosmicBeetle, и обнаружение единого ZIP-архива с образцами вторжений, содержащего ScRansom и другие характерные инструменты CosmicBeetle.
В целом, CosmicBeetle продолжает свою активную деятельность, разрабатывая и распространяя программу-вымогатель ScRansom среди малых и средних предприятий. Однако из-за недостаточной опытности данного злоумышленника могут возникать проблемы с восстановлением зашифрованных файлов. Кроме того, CosmicBeetle пытается использовать известные бренды и репутацию других групп вымогателей для своей выгоды. Исследования также показывают возможную связь CosmicBeetle с RansomHub, что может представлять сложности при борьбе с данным злоумышленником.
Indicators of Compromise
IPv4
- 66.29.141.245
Domains
- www.lockbitblog.info
Onion Domains
- 7tkffbh3qiumpfjfq77plcorjmfohmbj6nwq5je6herbpya6kmgoafid.onion
- noname2j6zkgnt7ftxsjju5tfd3s45s4i3egq5bqtl72kgum4ldc6qyd.onion
- nonamef5njcxkghbjequlibwe5d3t3li5tmyqdyarnrsryopvku76wqd.onion
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
SHA1
- 1b635cb0a4549106d8b4cd4edaff384b1e4177f6
- 1ce78474088c14afb8495f7abb22c31b397b57c7
- 26d9f3b92c10e248b7dd7be2cb59b87a7a011af7
- 3c32031696db109d5fa1a09af035038bfe1ebe30
- 4497406d6ee7e2ef561c949ac88bb973bdbd214b
- 705280a2dcc311b75af1619b4ba29e3622ed53b6
- dae100afc12f3de211bff9607dd53e5e377630c5
