CosmicBeetle kooperiert für neue ScRansom-Ransomware mit RansomHub
Der als CosmicBeetle bekannte Bedrohungsakteur hat in Angriffen auf kleine und mittlere Unternehmen (KMUs) in Europa, Asien, Afrika und Südamerika eine neue benutzerdefinierte Ransomware namens ScRansom eingeführt. Vieles deutet darauf hin, dass er dafür mit RansomHub zusammenarbeitet.
ESET-Forscher Jakub Souček erklärt in einer Analyse: „CosmicBeetle hat seine vorher verwendete Ransomware Scarab durch ScRansom ersetzt, das stetig weiterentwickelt wird. Auch wenn es nicht die beste Ransomware ist, schafft es der Angreifer damit, interessante Ziele zu treffen.“
Die Ziele der ScRansom-Angriffe umfassen verschiedene Branchen, wie die Fertigungsindustrie, Pharmaunternehmen, Rechtswesen, Bildung, Gesundheitswesen, Technologie, das Gastgewerbe, Freizeit, Finanzdienstleistungen sowie regionale Behörden.
CosmicBeetle ist vor allem durch das bösartige Toolset Spacecolon bekannt, das zuvor zur Verbreitung der Scarab-Ransomware weltweit genutzt wurde.
Der Angreifer, auch als NONAME bekannt, experimentierte bereits im November 2023 mit dem durchgesickerten LockBit-Builder, um in Lösegeldforderungen und auf Leakseiten den Eindruck zu erwecken, dass er Teil der berüchtigten LockBit-Ransomware-Gang sei.
Wer genau hinter den Angriffen steckt oder woher die Gruppe kommt, ist noch unklar. Eine frühere Theorie vermutete einen türkischen Ursprung, da in einem anderen Tool namens ScHackTool ein spezielles Verschlüsselungsschema genutzt wurde. ESET glaubt jedoch, dass diese Annahme inzwischen überholt ist.
„Das Verschlüsselungsschema von ScHackTool wird auch im legitimen Disk Monitor Gadget verwendet“, so Souček. „Es ist wahrscheinlich, dass dieser Algorithmus von VOVSOFT, einem türkischen Softwareunternehmen, aus einem Thread auf Stack Overflow übernommen wurde und CosmicBeetle ihn später für ScHackTool genutzt hat.“
Es wurden Angriffsmethoden beobachtet, die auf Brute-Force-Attacken und bekannte Sicherheitslücken (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 und CVE-2023-27532) setzen, um in Zielsysteme einzudringen.
Die Angreifer nutzen zudem Tools wie Reaper, Darkside und RealBlindingEDR, um sicherheitsrelevante Prozesse zu beenden und eine Erkennung zu vermeiden, bevor sie die Delphi-basierte ScRansom-Ransomware ausführen. Diese unterstützt teilweise Verschlüsselung, um den Verschlüsselungsprozess zu beschleunigen, und verfügt über einen „ERASE“-Modus, der Dateien unwiderruflich löscht, indem sie mit einem konstanten Wert überschrieben werden.
Die Verbindung zu RansomHub wurde entdeckt, als das slowakische Cybersicherheitsunternehmen feststellte, dass sowohl ScRansom- als auch RansomHub-Nutzlasten innerhalb einer Woche auf demselben Rechner eingesetzt wurden.
„Wahrscheinlich versuchte CosmicBeetle, vom Ruf von LockBit zu profitieren, um die Schwächen in der eigenen Ransomware zu verschleiern und die Chance zu erhöhen, dass die Opfer das Lösegeld zahlen“, so Souček.
Cicada3301 veröffentlicht eine aktualisierte Version
Die Enthüllung kommt zu einem Zeitpunkt, als Hackergruppen, die mit der Ransomware Cicada3301 (auch bekannt als Repellent Scorpius) in Verbindung stehen, seit Juli 2024 eine aktualisierte Version ihres Verschlüsselungsprogramms einsetzen.
„Die Angreifer haben ein neues Befehlszeilenargument hinzugefügt: –no-note“, berichtet Palo Alto Networks Unit 42. „Wenn dieses Argument genutzt wird, wird keine Lösegeldforderung auf dem System hinterlassen.“
Eine weitere wichtige Änderung ist, dass keine fest programmierten Benutzernamen oder Passwörter mehr in der Datei gespeichert sind. Dennoch kann die Ransomware weiterhin PsExec nutzen, um mit solchen Anmeldedaten zu arbeiten, falls sie vorhanden sind – eine Technik, die kürzlich von Morphisec hervorgehoben wurde.
Interessanterweise hat der Cybersicherheitsanbieter Hinweise darauf gefunden, dass die Gruppe Zugriff auf Daten von älteren Sicherheitsvorfällen hat, die vor ihrer Aktivität unter dem Namen Cicada3301 liegen.
Das wirft die Frage auf, ob die Hackergruppe früher unter einem anderen Ransomware-Namen aktiv war oder die Daten von anderen Gruppen gekauft hat. Unit 42 stellte auch Überschneidungen mit einem weiteren Angriff fest, der im März 2022 von einer Partnergruppe durchgeführt wurde, die die BlackCat-Ransomware einsetzte.
BURNTCIGAR entwickelt sich zum EDR-Killer
Die Ergebnisse folgen auch einer Entwicklung eines signierten Windows-Treibers im Kernel-Modus, der von mehreren Ransomware-Banden verwendet wird, um Endpoint Detection and Response (EDR)-Software auszuschalten. Anstatt Sicherheitsprogramme nur zu beenden, agiert BURNTCIGAR jetzt als Killer, der kritische Komponenten dieser Sicherheitslösungen gezielt von den Festplatten der betroffenen Systeme löscht.
Die Malware namens POORTRY wird zusammen mit einem Loader namens STONESTOP genutzt, um einen „Bring Your Own Vulnerable Driver“-Angriff (BYOVD) durchzuführen und dabei die Treibersignatur-Prüfung von Windows zu umgehen. Ihre Fähigkeit, Dateien auf der Festplatte zu löschen, wurde erstmals im Mai 2023 entdeckt.
POORTRY, auch BURNTCIGAR genannt, existiert seit 2021 und wurde von Ransomware-Gruppen wie CUBA, BlackCat, Medusa, LockBit und RansomHub verwendet. Sophos berichtet, dass die Software durch einen auf GitHub verfügbaren Closed-Source-Packer namens ASMGuard verschleiert stark verschleiert ist und speziell darauf abzielt, EDR-Systeme zu deaktivieren, indem sie sicherheitsrelevante Prozesse stoppt und wichtige Dateien löscht. Die Fähigkeit, Dateien auf der Festplatte „zwangsweise zu löschen“, wurde erstmals im Mai 2023 von Trend Micro beobachtet.
Die schädlichen Treiber nutzen laut Sophos eine „quasi unbegrenzte Versorgung mit gestohlenen oder falsch verwendeten Code-Signaturzertifikaten“, um Microsofts Schutzmechanismen zur Treibersignatur zu umgehen.
Die Verwendung einer verbesserten Version von POORTRY durch RansomHub ist besonders bemerkenswert, da die Ransomware-Gruppe in diesem Jahr auch ein weiteres EDR-Deaktivierungstool namens EDRKillShifter eingesetzt hat.
Darüber hinaus wurde entdeckt, dass die Ransomware-Gruppe ein legitimes Tool von Kaspersky namens TDSSKiller verwendet, um EDR-Dienste auf den Zielsystemen zu deaktivieren. Dies zeigt, dass die Bedrohungsakteure mehrere Programme mit ähnlicher Funktionalität in ihren Angriffen einsetzen.
„Es ist wichtig zu erkennen, dass Bedrohungsakteure ständig mit verschiedenen Methoden experimentieren, um EDR-Produkte zu deaktivieren“, erklärt Sophos. „Dies geschieht oft durch den Missbrauch anfälliger Treiber oder das Verwenden durchgesickerter Zertifikate. Die Verwendung von Tools wie EDRKillShifter spiegelt diesen kontinuierlichen Experimentierprozess wider.“
„Obwohl es so aussehen mag, als gäbe es einen deutlichen Anstieg dieser Aktivitäten, handelt es sich tatsächlich um einen fortlaufenden Prozess und nicht um einen plötzlichen Anstieg.“
„Die Verwendung verschiedener EDR-Deaktivierungstools, wie EDRKillShifter durch Gruppen wie RansomHub, spiegelt wahrscheinlich dieses anhaltende Experimentieren wider. Es ist auch möglich, dass verschiedene Partner beteiligt sind, was die Verwendung unterschiedlicher Methoden erklären könnte. Allerdings wollen wir ohne konkrete Informationen nicht zu viel spekulieren.“