CosmicBeetle კიბერკრიმინალები თავს ესხმიან კომპანიებს ევროპასა და აზიაში

კომპანია ESET-მა, ლიდერმა ინფორმაციული უსაფრთხოების სფეროში, აღმოაჩინა ახალი გამოძალვის პროგრამა ScRansom, რომელსაც კიბერდამნაშავეთა ჯგუფი CosmicBeetle ავრცელებდა მცირე და საშუალო ბიზნესებში, ძირითადად ევროპასა და აზიაში. გარდა ამისა, CosmicBeetle, სავარაუდოდ, არის ახალი RansomHub ransomware ჯგუფის ნაწილი, რომელიც აქტიურია 2024 წლის მარტიდან და სთავაზობს გამოსასყიდ პროგრამას, როგორც სერვისს.

«შესაძლოა, გამოსასყიდი პროგრამის ნულიდან შექმნის დაბრკოლებების გამო, CosmicBeetle-მა სცადა გამოეყენებინა სხვა გამოსასყიდი პროგრამის LockBit-ის პოპულარობა, რათა დაემალა პრობლემები ძირითად ransomware-ში  და ამგვარად გაეზარდა მსხვერპლის გადახდის ალბათობა, - ამბობს ESET-ის მკვლევარი იაკუბ სოუჩეკი. გარდა ამისა, ჩვენ ახლახან დავაფიქსირეთ ScRansom და RansomHub კომპონენტები, რომლებიც განლაგებულია ერთ მოწყობილობაზე ერთი კვირის შუალედში. RansomHub-ის ეს შესრულება ძალიან უჩვეულო იყო ESET ტელემეტრიის მიერ აღმოჩენილ ტიპურ შემთხვევებთან შედარებით, მაგრამ მსგავსია CosmicBeetle-ის ოპერაციული რეჟიმის. ვინაიდან არ არსებობს საჯარო გაჟონვა RansomHub-ის შესახებ, ეს იმაზე მეტყველებს, რომ CosmicBeetle არის მათი ახალი ნაწილი».

CosmicBeetle ხშირად იყენებს პაროლის შერჩევის მეთოდს თავისი სამიზნეებისთვის.გარდა ამისა, კიბერკრიმინალები იყენებენ სხვადასხვა ცნობილ დაუცველობას. ამ საფრთხის ყველაზე გავრცელებული მსხვერპლია მცირე და საშუალო ზომის საწარმოები სხვადასხვა ინდუსტრიიდან მთელს მსოფლიოში, რადგან ეს სეგმენტიუფრო სავარაუდოა,რომ არიყენებდეს განახლებულ პროგრამულ უზრუნველყოფას ან არ ქონდესსაიმედო გამოსწორების მართვა. კერძოდ, ESET-ის მკვლევარებმა აღმოაჩინეს შეტევები კომპანიებზე შემდეგ ინდუსტრიებში: წარმოება, ფარმაცევტიკა, იურიდიული სექტორი, განათლება, ჯანდაცვა, ტექნოლოგიები, სტუმართმოყვარეობის ინდუსტრია, ფინანსური მომსახურება და რეგიონული სახელმწიფო უწყებები.

დაშიფვრის გარდა, ScRansom საფრთხეს ასევე შეუძლია შეწყვიტოს სხვადასხვა პროცესები და სერვისები ინფიცირებულ აპარატზე. ScRansom საკმაოდ მარტივი გამოსასყიდი პროგრამაა, თუმცა CosmicBeetle ჯგუფმა შეძლო საინტერესო სამიზნეების კომპრომეტირება და მათთვის დიდი ზიანის მიყენება. ეს ძირითადად იმიტომ ხდება, რომ CosmicBeetle არის ახალი მოთამაშე გამოსასყიდი პროგრამების სამყაროში, სადაც ScRansom-ს უჭირს განლაგება.

ESET-ის მკვლევარებმა შეძლეს მიეღოთ CosmicBeetle-ის მიერ დანერგილი დეშიფრატორი მისი უახლესი დაშიფვრის სქემისთვის. დაშიფვრისა და გაშიფვრის უაღრესად რთულმა პროცესმა შეიძლება გამოიწვიოს შეცდომები, რაც ეჭვქვეშ აყენებს ყველა ფაილის აღდგენას. წარმატებული გაშიფვრა დამოკიდებულია იმაზე, რომ დეშიფრატორი მუშაობს სწორად და CosmicBeetle უზრუნველყოფს ყველა საჭირო გასაღებს. თუმცა ამ შემთხვევაშიც კი, თავდამსხმელს შეუძლია სამუდამოდ წაშალოს ზოგიერთი ფაილი. საუკეთესო შემთხვევაშიც კი, გაშიფვრა გრძელი და რთული პროცესია.

აღსანიშნავია, რომ CosmicBeetle აქტიურია მინიმუმ 2020 წლიდან. ეს საფრთხე ყველაზე ცნობილია Delphi ინსტრუმენტების სპეციალური კოლექციის გამოყენებით, რომელიც შედგება ScHackTool-ის, ScInstaller-ის, ScService-ისა და ScPatcher-ისგან.

ასეთი თავდასხმების თავიდან ასაცილებლად და ნებისმიერი მავნე აქტივობის დროული გამოვლენის უზრუნველსაყოფად, ორგანიზაციებმა უნდა უზრუნველყონ, რომ მათი კიბერთავდაცვა იყოს ძლიერი, როგორიცაა ESET PROTECT Elite-ის ყოვლისმომცველი საფრთხის პრევენციის, გამოვლენისა და სწრაფი რეაგირების (XDR) გადაწყვეტა.