Elsősorban európai és ázsiai kisvállalkozásokat támad be a CosmicBeetle ransomware csoport, amelyik látszólag most a RansomHub égisze alatt hozta ki programjának új ScRansom változatát.
A 2020. óta létező csapat korábban a Scarab zsarolóvírussal volt jelen, amelyet az idők során folyamatosan fejlesztettek. Az elemzések szerint egy érdekes szereplő, volt, hogy a LockBit nevével is visszaéltek és török nyelvű üzenetekkel igyekeztek váltságdíjat kizsarolni. Láthatóan a NONAME nevű TOR szivárogtató oldalukat is a LockBit-ről másolták.
A kódban előforduló török nyelvű karakterek ellenére a származás ezzel mégsem azonosítható be egyértelműen, az viszont látszik, hogy a gyaníthatóan RansomHub ransomware-as-a-service partnereként fellépő CosmicBeetle 2024. márciusa óta gyorsan növekvő aktivitással rendelkezik.
A ScRansom legkorábbi mintái még 2023. márciusában végén jelentek meg, de a valódi támadások csak augusztusban kezdődtek el. A kutatók szerint júniusban a CosmicBeetle megpróbált kompromittálni egy indiai gyártó céget, de ott még nem jártak sikerrel.
Később viszont a csoport gyógyszeripari, jogi, oktatási, egészségügyi, technológiai és pénzügyi iparágak ellen indított támadásokat, amihez évek óta fennálló sebezhetőségeket igyekezett kihasználni elsősorban kis- és középvállalkozásokat megcélozva tudva, hogy itt a hibajavítási hajlam gyakran problematikus.
A ScRansom nem túl kifinomult zsarolóprogram, és van benne egy olyan buktató is, amely alaposan megkeserítheti az áldozatok életet. Egyszer korábban már értekeztünk arról, hogy voltak olyan hibásan megírt ransomware programok, amik még fizetés esetén sem hagytak esélyt az áldozatoknak.
A "PowerWorm" zsarolóvírusban egy programozási hiba következtében egyáltalán nem lehetett helyreállítani az adatokat, míg a GitHubról származó "HiddenTear" átirat esetében szintén elkutyult kódolás miatt a 10 MB méret feletti állományoknál nem működött a helyreállító kulcs, így ott is garantált volt az adatvesztés.
És ebben a ligában focizik a CosmicBeetle is, ugyanis bár maga a visszafejtő működik, ám gyakran több visszafejtő kulcsra is szükség van, amiből ha nem kapjuk meg az összeset, akkor egyes fájlok végleg elveszhetnek. Azonban még optimális esetben is maga a visszafejtés egy extra hosszú és roppant bonyolult folyamat lesz.
Egy igen részletes alapos elemzés az ESET részéről itt olvasható a WeLiveSecurity oldalon.