Fidye yazılımları konusunda uzmanlaşmış bir tehdit aktörü olan CosmicBeetle, yakın zamanda eski fidye yazılımı Scarab’ı, gelişmeye devam eden özel yapım bir fidye yazılımı olan ScRansom ile değiştirdi.
Tehdit aktörü, dünya çapında KOBİ’leri aktif olarak hedef alıyor, sistemlerine erişmek için güvenlik açıklarından yararlanıyor ve sızdırılan LockBit oluşturucusunu deneyerek, kötü şöhretli fidye yazılımı çetesini taklit ederek itibarını artırmaya çalışıyor.
Orta düzeyde güvenle, CosmicBeetle’ın, nispeten yeni bir fidye yazılımı aktörü olan ve özel olarak geliştirilen ScRansom ile Avrupa ve Asya’daki KOBİ’leri aktif olarak hedef alan, yükselen bir fidye yazılımı hizmeti grubu olan RansomHub’ın yeni bir iştiraki olduğuna inanılıyor.
ScRansom çok gelişmiş bir araç olmasa da CosmicBeetle, olgunlaşmamış yaklaşımı ve sızdırılan LockBit araçlarının kullanımı nedeniyle birçok ilginç hedefi başarıyla tehlikeye attı.
ESET telemetrisi ve kod analizi, ScRansom’un CosmicBeetle tarafından geliştirilen yeni bir araç olduğunu güçlü bir şekilde öne sürüyor. Kod benzerlikleri, örtüşen dağıtımlar ve diğer CosmicBeetle araçlarıyla paylaşılan bileşenler ikna edici kanıtlar sağlıyor.
Daha önce bir Türk yazılım geliştiricisine atıf yapılması doğru olmasa da, ScHackTool’da kullanılan şifreleme şemasının açık kaynaklı bir algoritmadan uyarlanmış olması muhtemeldir; bu da ScRansom ile CosmicBeetle arasındaki bağlantıyı destekleyerek atıfı sağlamlaştırmaktadır.
Fidye yazılımı grubu CosmicBeetle, öncelikle çeşitli sektörlerdeki KOBİ’leri hedef alıyor ve EternalBlue, CVE-2023-27532, AD ayrıcalık yükseltme güvenlik açıkları, FortiOS SSL-VPN güvenlik açığı ve Zerologon gibi bilinen güvenlik açıklarını istismar ediyor.
Grubun kurbanları arasında imalat, ilaç, hukuk, eğitim, sağlık, teknoloji, otelcilik, finansal hizmetler ve bölgesel yönetim alanlarındaki şirketler yer alıyor.
CosmicBeetle, kurbanlarıyla e-posta ve mesajlaşma uygulaması qTox aracılığıyla iletişim kuruyor ve NONAME adlı özel bir fidye yazılımını kullanıyor.
Daha az bilinen bir fidye yazılımı grubu, güvenilirliklerini artırmak için önce benzer tasarıma sahip sahte bir LockBit sızıntı sitesi oluşturarak ve LockBit’ten ele geçirilen kurban verilerini yeniden kullanarak tanınmış LockBit’i taklit etti.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin
Daha sonra, sızdırılan LockBit oluşturucusunu kullanarak bir fidye yazılımı örneği bile oluşturdular ve iletişim bilgileriyle birlikte bir Türkçe fidye notu eklediler. Kanıtlar, CosmicBeetle’ın RansomHub’ın yeni bir iştiraki olabileceğini gösteriyor, çünkü araçları ve davranışları yakın zamanda gerçekleşen bir RansomHub saldırısında gözlemlendi.
CosmicBeetle tarafından geliştirilen bir fidye yazılımı olan ScRansom, AES ve RSA anahtarlarını içeren karmaşık bir şifreleme şeması kullanır. Çeşitli sürücülerdeki dosyaları şifreler ve ayrıca dosyaları kalıcı olarak silebilir.
Fidye yazılımı başlangıçta tehdit aktörü tarafından manuel etkileşim yoluyla başlatılır, ancak daha yeni sürümler süreci otomatikleştirir. Mağdurlar, şifrelenmiş dosyalarını kurtarmak için gereken şifre çözme anahtarını elde etmek için fidye ödemek zorundadır.
Ancak şifre çözme süreci karmaşıktır ve birden fazla şifreleme oturumu ve olası dosya imhası gibi çeşitli faktörler nedeniyle başarısız olabilir.
Scarab’ı terk ettikten sonra yeni bir özel fidye yazılımı olan ScRansom’ı devreye soktu. LockBit’in itibarından yararlanma girişimlerine rağmen ScRansom karmaşık ve hatalara açık olmaya devam ediyor.
ESET araştırmasına göre, saldırganın RansomHub yüklerini ScRansom ile aynı makineye dağıtması, RansomHub ile olası bir bağlantıya işaret ediyor.
ScRansom’un devam eden geliştirme süreci, başarılı bir şifre çözme işleminin belirsiz olması ve kapsamlı manuel çaba gerektirebilmesi nedeniyle mağdurlar için önemli riskler oluşturmaktadır.
Hepsi Bir Arada Siber Güvenlik Platformuyla Siber Saldırı Senaryolarını Simüle Etme – Ücretsiz Web Seminerini İzleyin