CosmicBeetle киберқылмыскерлері Еуропа мен Азиядағы компанияларға шабуыл жасауда

Ақпараттық қауіпсіздік саласындағы көшбасшы – ESET компаниясы CosmicBeetle киберқылмыскерлер тобы көбіне Еуропа мен Азияда шағын және орта кәсіпорындар арасында таратып жүрген жаңа ScRansom бопсалаушы бағдарламасын тапты. Бұдан бөлек, CosmicBeetle 2024 жылдың наурыз айынан бастап белсенді жаңа RansomHub бопсалаушы бағдарламалар тобының бір бөлігі болуы мүмкін және бопсалаушы бағдарламаларды қызметтер ретінде ұсынады.

«Мүмкін, CosmicBeetle бопсалаушы бағдарламаны басынан бастап жасау кезіндегі кедергілерге байланысты, негізгі бопсалаушы бағдарламадағы проблемаларды жасыру үшін LockBit атты басқа бопсалаушы бағдарламаның танымалдылығын пайдаланып, осылайша құрбандардың төлеу мүмкіндігін арттырғысы келген шығар, — депESET зерттеушісі Якуб Соучек өз пікірін білдірді. — Сонымен қатар, біз жақында ScRansom и RansomHub-тың компоненттерін бір апта айырмашылығы бар уақыт аралығында бір құрылғының шеңберінде өрбітуді байқадық. Бұл RansomHub-тың орындалуы ESET телеметриясы анықтаған әдеттегі жағдайлармен салыстырғанда өте ерекше болып табылады, бірақ CosmicBeetle-дің әрекет ету тәсіліне ұқсас. RansomHub туралы ақпараттың қоғамда таралмағандығының салдарынан, CosmicBeetle – олардың жаңа бөлігі деген ой тудырады».

CosmicBeetle көбінесе өз нысаналарына шабуыл жасау үшін құпия сөздерді таңдау әдісін пайдаланады. Сонымен қатар, киберқылмыскерлер әртүрлі белгілі осалдықтарды пайдаланады. Көбінесе бұл қауіптің құрбандары бүкіл әлем бойынша әртүрлі саладағы шағын және орта буын кәсіпорындары болып табылады. Себебі бұл сегментте жаңартылмаған бағдарламалық жасақтаманы пайдалану немесе түзетулерді сенімді басқарудың болмауы ықтималдырақ. Атап айтқанда, ESET зерттеушілері өндіріс, фармацевтика, заң бөлімі, білім, денсаулық сақтау, технологиялар, қонақжайлылық индустриясы, қаржылық қызметтер мен аймақтық мемлекеттік мекемелер салаларындағы компанияларға жасалған шабуылдарды анықтады.

1 суерт. ESET телеметриясының деректеріне сәйкес 2023 жылдың тамызынан бастап CosmicBeetle шабуылдарының картасы.

Шифрлаудан бөлек, ScRansom қаупі, сонымен қатар, зақымдалған машинадағы басқа да процестер мен қызметтерді тоқтата алады. ScRansom — біршама жеңіл бопсалаушы бағдарлама, дегенмен CosmicBeetle тобы қызықты мақсаттарды әшкерелей алды және оларға үлкен зиян тигізді. Өйткені, CosmicBeetle бопсалаушы бағдарламалардың ішінде жаңа ойыншы болып табылады, соған қарамастан ScRansom-ды өрбіту кезінде проблемалар бар.

ESET зерттеушілері өзінің соңғы сұлбасы үшін CosmicBeetle жүзеге асырған дешифраторды ала алды. Өте күрделі шифрлау мен дешифрлау процестері қателерге әкеп соғуы мүмкін, ол барлық файлдарды қалпына келтіруді күдікті етеді. Сәтті дешифрлау дешифратордың дұрыс жұмысына және CosmicBeetle-дің қажетті кілттерді ұсынуына байланысты. Дегенмен, бұл жағдайда да зиянкес кейбір файлдарды тіпті, әрі кетсе, дешифрлау ұзақ әрі күрделі процесс болған күнде де жойып тастауы мүмкін.

CosmicBeetle кем дегенде 2020 жылдан бері белсенді екенін атап өткен жөн. Бұл қауіп Delphi-дің Spacecolon деген атпен белгілі ScHackTool, ScInstaller, ScService және ScPatcher-ден тұратын арнайы құралдар топтамасын пайдаланудың арқасында белгілі.

Осындай шабуылдардың алдын алу және кез келген зиянды белсенділікті өз уақытында анықтау үшін ұйымды мықты киберқорғаумен, мысалы, қауіптердің алдын алуға, оларды анықтауға және жылдам әрекет етуге (XDR) арналған ESET PROTECT Elite кешенді шешімінің көмегімен қамтамасыз ету керек.