- Spacecolon est un ensemble d'outils utilisé pour déployer des variantes du rançongiciel Scarab aux victimes du monde entier.
- ESET Research pense qu'il est d'origine turque.
- Les opérateurs de Spacecolon, nommés CosmicBeetle par ESE, n'ont pas de ciblage précis.
- ESET détecte une forte activité de ce groupe dans les pays européens, en Turquie et au Mexique.
- Spacecolon peut servir de cheval de Troie pour permettre l'accès à distance, avec la capacité d'extraire des informations sensibles et / ou de déployer Scarab ransomware.
- CosmicBeetle compromet probablement les serveurs Web vulnérables à la faille ZeroLogon ou les serveurs dont l'identification RDP peut être devinée par force brute.
- CosmicBeetle semble préparer la distribution de nouveaux ransomwares que nous avons nommés ScRansom.
BRATISLAVA, PRAGUE - 22 août 2023 - ESET Research a publié son analyse de Spacecolon, un ensemble d'outils utilisé pour déployer des variantes du rançongiciel Scarab aux victimes du monde entier. Il pénètre probablement dans les organisations victimes par le biais de cyber criminels compromettant des serveurs Web vulnérables ou via des informations d'identification RDP découvertes par force brute. De nombreuses versions de Spacecolon présentent un grand nombre de chaînes de texte en turc, ce qui conduit ESET à penser qu'il a été développé par un programmeur dont la langue maternelle est le turc. ESET a pu retracer les origines de Spacecolon au moins jusqu'en mai 2020 et des campagnes sont en cours actuellement. ESET a nommé les opérateurs de Spacecolon CosmicBeetle pour représenter le lien avec « l'espace » et « scarabée ».
Les incidents attribués à Spacecolon et identifiés par la télémétrie ESET s’étendent au monde entier, avec une prévalence élevée dans les pays de l'Union européenne, tels que l'Espagne, la France, la Belgique, la Pologne et la Hongrie ; ailleurs, ESET a détecté une présence élevée en Turquie et au Mexique. Après la compromission de la victime, en plus de l'installation de ransomware, Spacecolon offre une grande variété d'outils qui permettent aux attaquants de désactiver les produits de sécurité, d'extraire des informations sensibles et d'obtenir des accès supplémentaires. La charge utile finale déployée par CosmicBeetle est une variante du rançongiciel Scarab. Cette variante déploie en interne un ClipBanker, un malware qui surveille le contenu du presse-papiers et modifie le contenu qu'il juge susceptible d'être une adresse de portefeuille de crypto-monnaie en une adresse contrôlée par un attaquant.
Pour aller encore plus loin, CosmicBeetle semble préparer la distribution de nouveaux ransomwares - ScRansom.
« Nous n'avons détecté aucune caractéristique spécifique parmi les victimes de Spacecolon, à l'exception de leur vulnérabilité face aux méthodes initiales d'accès utilisées par CosmicBeetle. Nous n'avons pas non plus trouvé de tendance parmi les domaines d’activité ou la taille des cibles. Cependant, pour n'en nommer que quelques-uns (par type et géographie), nous avons observé Spacecolon dans un hôpital et une station touristique en Thaïlande, une compagnie d'assurance en Israël, une institution gouvernementale locale en Pologne, un fournisseur de divertissement au Brésil, une société environnementale en Turquie et une école au Mexique », explique Jakub Souček, chercheur à ESET, auteur de l'analyse.
En outre, une nouvelle famille de ransomwares est en cours de développement, avec des échantillons téléchargés sur VirusTotal depuis la Turquie. ESET Research croit avec une grande confiance qu'il est écrit par les mêmes développeurs que Spacecolon, et ESET l'a nommé ScRansom. ScRansom tente de chiffrer tous les disques durs, amovibles et distants. ESET n'a pas observé ce rançongicielen cours de déploiement dans la nature, et il semble être encore en phase de développement.
Pour plus d'informations techniques sur Spacecolon et CosmicBeetle, consultez le blog « Scarabs colonizing vulnerable servers » sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.
Répartition des victimes du groupe Spacecolon
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.