Lieber schlecht kopiert als schlecht selbst gemacht?

Nächste PM

Forscher des IT-Sicherheitsherstellers ESET haben neue Aktivitäten der CosmicBeetle-Gruppe entdeckt. Sie verbreitet Ransomware an kleine und mittlere Unternehmen (KMU), hauptsächlich in Europa und Asien. Dabei kommt ihre Ransomware ScRansom zum Einsatz. In ihren Erpresserbriefen und Webseiten versucht CosmicBeetle, die Reputation der bekannten, mittlerweile inaktiven LockBit-Gruppe auszunutzen, um Opfer zur Zahlung zu bringen. Darüber hinaus ist die Gruppe nun Teil des Ransomware-Dienstleisters RansomwareHub, der seit März 2024 aktiv ist und nun verstärkt in Erscheinung tritt.

„Eine eigene Ransomware zu schreiben, stellt auch Hackergruppen vor Herausforderungen – vor allem, wenn es sich um eine darin eher unerfahrene Gruppe wie CosmicBeetle handelt“, erklärt ESET Forscher Jakub Souček. „Deshalb versuchte die Gruppe, die gute Reputation von Lockbit auszunutzen, um die Erfolgswahrscheinlichkeit für eigene Angriffe zu erhöhen.“

So kommen die Hacker ins Netzwerk

CosmicBeetle verwendet häufig Brute-Force-Angriffe, um in die Systeme seiner Opfer einzudringen. Außerdem missbraucht die Gruppe verschiedene bekannte Schwachstellen. Der Grund dafür: Hier ist die Wahrscheinlichkeit am größten, dass die Zielunternehmen Software mit den entsprechenden Sicherheitslücken verwenden. Außerdem besitzen Organisationen dieser Größe selten ein robustes Patch-Management. Zu den betroffenen Branchen gehören: Fertigung, Pharmazeutik, Recht, Bildung, Gesundheitswesen, Technologie, Gastgewerbe, Freizeit, Finanzdienstleistungen sowie regionale Behörden.

Das kann die Ransomware der Gruppe

ScRansom kann nicht nur verschlüsseln, sondern auch verschiedene Prozesse und Dienste auf dem betroffenen Computer beenden. ScRansom ist allerdings keine sehr ausgefeilte Ransomware. Dennoch war CosmicBeetle mit ihr in der Lage, bei betroffenen Unternehmen große Schäden anzurichten.

Von ScRansom betroffene Opfer sollten bedenken: Die fehleranfällige Entschlüsselungs-Software der Hacker kann mutmaßlich nicht alle verschlüsselten Daten wiederherstellen. Selbst im günstigsten Fall ist die Entschlüsselung langwierig und kompliziert. Das bedeutet: Selbst, wenn sich Organisationen zur Zahlung des Lösegelds entschließen und das Entschlüsselungs-Tool erhalten, gehen im schlimmsten Fall viele Dateien verloren. ScRansom wird ständig weiterentwickelt. Dies spricht für eine qualitativ mangelhafte Ransomware.

Was über die Gruppe bekannt ist

CosmicBeetle ist aktiv seit mindestens 2020. Entdeckt wurde die Gruppe 2023 und sie ist vor allem für die Verwendung ihrer eigens geschaffenen Delphi-Tools bekannt, die gemeinhin Spacecolon genannt werden. Diese bestehen aus ScHackTool, ScInstaller, ScService und ScPatcher.

Weitere Informationen zu CosmicBeetle gibt es im Blogpost “CosmicBeetle steps up: Probation period at RansomHub” auf WeLiveSecurity.de.

Weltweite Verteilung der CosmicBeetle-Angriffe seit August 2023 laut ESET Telemetrie.

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.