VietNetwork.Vn

Kẻ tấn công có tên CosmicBeetle đã ra mắt một loại ransomware tùy chỉnh mới có tên là ScRansom trong các cuộc tấn công nhắm vào các doanh nghiệp vừa và nhỏ (SMB) ở Châu Âu, Châu Á, Châu Phi và Nam Mỹ, đồng thời có khả năng hoạt động như một chi nhánh của RansomHub.

"CosmicBeetle đã thay thế phần mềm tống tiền Scarab đã triển khai trước đó bằng ScRansom, phần mềm này liên tục được cải tiến", nhà nghiên cứu Jakub Souček của ESET cho biết trong một phân tích mới được công bố hôm nay. "Mặc dù không phải là hàng đầu, nhưng tác nhân đe dọa này có thể xâm phạm các mục tiêu thú vị".


Mục tiêu của các cuộc tấn công ScRansom trải dài từ sản xuất, dược phẩm, pháp lý, giáo dục, chăm sóc sức khỏe, công nghệ, khách sạn, giải trí, dịch vụ tài chính đến các lĩnh vực chính quyền khu vực.

CosmicBeetle được biết đến nhiều nhất với bộ công cụ độc hại có tên Spacecolon, trước đây được xác định là được sử dụng để phát tán phần mềm tống tiền Scarab vào các tổ chức nạn nhân trên toàn cầu.

Còn được gọi là NONAME, kẻ thù có thành tích thử nghiệm với trình xây dựng LockBit bị rò rỉ nhằm mục đích đóng giả là băng đảng ransomware khét tiếng trong các ghi chú đòi tiền chuộc và trang web rò rỉ của chúng từ tận tháng 11 năm 2023.

Hiện tại vẫn chưa rõ ai là người đứng sau vụ tấn công hoặc họ đến từ đâu, mặc dù một giả thuyết trước đó cho rằng họ có thể có nguồn gốc từ Thổ Nhĩ Kỳ do có một chương trình mã hóa tùy chỉnh được sử dụng trong một công cụ khác có tên là ScHackTool. Tuy nhiên, ESET nghi ngờ rằng lời quy kết này không còn hợp lý nữa.

"Sơ đồ mã hóa của ScHackTool được sử dụng trong Disk Monitor Gadget hợp pháp ", Souček chỉ ra. "Có khả năng thuật toán này đã được VOVSOFT [công ty phần mềm Thổ Nhĩ Kỳ đứng sau công cụ này] chuyển thể [từ một chủ đề Stack Overflow] và nhiều năm sau, CosmicBeetle tình cờ tìm thấy nó và sử dụng nó cho ScHackTool".

Người ta đã quan sát thấy các chuỗi tấn công lợi dụng các cuộc tấn công bằng cách dùng vũ lực và các lỗ hổng bảo mật đã biết ( CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 và CVE-2023-27532 ) để xâm nhập vào môi trường mục tiêu.

Các cuộc xâm nhập còn bao gồm việc sử dụng nhiều công cụ khác nhau như Reaper, Darkside và RealBlindingEDR để chấm dứt các quy trình liên quan đến bảo mật nhằm tránh bị phát hiện trước khi triển khai phần mềm tống tiền ScRansom dựa trên Delphi, hỗ trợ mã hóa một phần để tăng tốc quy trình và chế độ "XÓA" để khiến các tệp không thể khôi phục được bằng cách ghi đè chúng bằng một giá trị hằng số.


Mối liên hệ với RansomHub bắt nguồn từ thực tế là công ty an ninh mạng Slovakia đã phát hiện việc triển khai các phần mềm độc hại ScRansom và RansomHub trên cùng một máy trong vòng một tuần.

Souček cho biết: "Có lẽ do những trở ngại khi viết phần mềm tống tiền tùy chỉnh từ đầu nên CosmicBeetle đã cố gắng lợi dụng danh tiếng của LockBit, có thể là để che giấu các vấn đề trong phần mềm tống tiền cơ bản và từ đó tăng khả năng nạn nhân sẽ phải trả tiền".

1. Cicada3301 tung ra phiên bản cập nhật

Việc tiết lộ này được đưa ra sau khi phát hiện những tác nhân đe dọa có liên quan đến phần mềm tống tiền Cicada3301 (hay còn gọi là Repellent Scorpius) đã sử dụng phiên bản cập nhật của trình mã hóa kể từ tháng 7 năm 2024.

"Những kẻ tấn công đã thêm một đối số dòng lệnh mới, --no-note", Palo Alto Networks Unit 42 cho biết trong một báo cáo chia sẻ với The Hacker News. "Khi đối số này được kích hoạt, trình mã hóa sẽ không ghi ghi chú đòi tiền chuộc vào hệ thống".

Một thay đổi quan trọng khác là không có tên người dùng hoặc mật khẩu được mã hóa cứng trong tệp nhị phân, mặc dù nó vẫn giữ lại khả năng thực thi PsExec bằng các thông tin đăng nhập này nếu chúng tồn tại, một kỹ thuật được Morphisec nêu bật gần đây.

Trong một diễn biến thú vị, nhà cung cấp an ninh mạng cho biết họ đã quan sát thấy dấu hiệu cho thấy nhóm này có dữ liệu thu được từ các sự cố xâm phạm cũ hơn có trước khi nhóm hoạt động dưới thương hiệu Cicada3301.

Điều này làm dấy lên khả năng rằng tác nhân đe dọa có thể đã hoạt động dưới một thương hiệu ransomware khác hoặc mua dữ liệu từ các nhóm ransomware khác. Tuy nhiên, Unit 42 lưu ý rằng họ đã xác định được một số điểm trùng lặp với một cuộc tấn công khác do một chi nhánh triển khai ransomware BlackCat thực hiện vào tháng 3 năm 2022.

2. BURNTCIGAR trở thành EDR Wiper

Những phát hiện này cũng theo sau sự phát triển của trình điều khiển Windows được ký ở chế độ hạt nhân được nhiều băng nhóm ransomware sử dụng để tắt phần mềm Phát hiện và Phản hồi Điểm cuối (EDR) cho phép nó hoạt động như một công cụ xóa để xóa các thành phần quan trọng liên quan đến các giải pháp đó, thay vì chấm dứt chúng.

Phần mềm độc hại đang được đề cập là POORTRY, được phân phối thông qua trình tải có tên là STONESTOP để điều phối cuộc tấn công Bring Your Own Vulnerable Driver ( BYOVD ), bỏ qua các biện pháp bảo vệ Driver Signature Enforcement. Khả năng "buộc xóa" các tệp trên đĩa của nó lần đầu tiên được Trend Micro ghi nhận vào tháng 5 năm 2023.

POORTRY, được phát hiện từ năm 2021, còn được gọi là BURNTCIGAR và đã được nhiều băng nhóm ransomware sử dụng, bao gồm CUBA, BlackCat, Medusa, LockBit và RansomHub trong nhiều năm qua.

"Cả tệp thực thi Stonestop và trình điều khiển Poortry đều được đóng gói và làm tối nghĩa", Sophos cho biết trong một báo cáo gần đây. "Bộ tải này đã được làm tối nghĩa bởi một trình đóng gói mã nguồn đóng có tên là ASMGuard, có sẵn trên GitHub".

POORTRY "tập trung vào việc vô hiệu hóa các sản phẩm EDR thông qua một loạt các kỹ thuật khác nhau, chẳng hạn như xóa hoặc sửa đổi các thói quen thông báo của hạt nhân. Mục tiêu của EDR killer là chấm dứt các quy trình liên quan đến bảo mật và khiến tác nhân EDR trở nên vô dụng bằng cách xóa các tệp quan trọng khỏi đĩa."

Việc RansomHub sử dụng phiên bản cải tiến của POORTRY đáng chú ý vì thực tế là nhóm ransomware này cũng đã bị phát hiện sử dụng một công cụ diệt EDR khác có tên là EDRKillShifter trong năm nay.

"Điều quan trọng là phải nhận ra rằng các tác nhân đe dọa đã liên tục thử nghiệm các phương pháp khác nhau để vô hiệu hóa các sản phẩm EDR — một xu hướng mà chúng tôi đã quan sát được ít nhất từ năm 2022", Sophos nói với The Hacker News. "Thử nghiệm này có thể bao gồm nhiều chiến thuật khác nhau, chẳng hạn như khai thác các trình điều khiển dễ bị tấn công hoặc sử dụng các chứng chỉ đã bị rò rỉ hoặc có được thông qua các phương tiện bất hợp pháp".

"Mặc dù có vẻ như có sự gia tăng đáng kể trong các hoạt động này, nhưng sẽ chính xác hơn khi nói rằng đây là một phần của quá trình đang diễn ra chứ không phải là sự gia tăng đột ngột."

"Việc sử dụng các công cụ diệt EDR khác nhau, chẳng hạn như EDRKillShifter của các nhóm như RansomHub, có thể phản ánh quá trình thử nghiệm đang diễn ra này. Cũng có thể có nhiều chi nhánh khác nhau tham gia, điều này có thể giải thích cho việc sử dụng nhiều phương pháp khác nhau, mặc dù nếu không có thông tin cụ thể, chúng tôi không muốn suy đoán quá nhiều về điểm đó."