Компанія ESET — лідер у галузі інформаційної безпеки — виявила набір шкідливих інструментів Spacecolon, який використовується для поширення програм-вимагачів Scarab у всьому світі. Ймовірно, загроза проникає в організації через компрометацію уразливих вебсерверів або через підбір облікових даних до віддаленого робочого столу (RDP).
Відповідно до даних телеметрії ESET, атаки Spacecolon зафіксовані в різних частинах світу з високим рівнем поширення в країнах Європейського Союзу, таких як Іспанія, Франція, Бельгія, Польща та Угорщина, а також у Туреччині та Мексиці. Крім цього, кіберзлочинці розроблюють нову програму-вимагач — ScRansom. Після встановлення програм-вимагачів Spacecolon має широкий вибір сторонніх інструментів, які дозволяють зловмисникам вимикати продукти з безпеки, перехоплювати конфіденційну інформацію та отримувати подальший доступ.
Спеціалістам ESET вдалося відстежити походження Spacecolon принаймні до травня 2020 року, і він залишається активним до цього часу.
«Ми не помітили жодної закономірності у виборі жертв, зон фокусу чи розміру цілей, окрім того, що вони були уразливими до початкових методів доступу. Наприклад, Spacecolon виявлено у лікарні та туристичному закладі в Таїланді, страховій компанії в Ізраїлі, місцевій державній установі в Польщі, розважальній компанії в Бразилії, екологічній компанії в Туреччині і школі в Мексиці», — коментує Якуб Сучек, дослідник ESET.
Кіберзлочинці, ймовірно, компрометують вебсервери з уразливістю ZeroLogon або з обліковими даними RDP, які можна зламати методом підбору паролів. Крім того, Spacecolon може забезпечити доступ за допомогою бекдора для зловмисників. Останні не докладають багато зусиль, щоб приховати своє шкідливе програмне забезпечення, і залишають багато слідів в інфікованих системах.
Після компрометації уразливого вебсервера кіберзлочинці розгортають ScHackTool. Цей основний компонент дозволяє хакерам управляти атакою, завантажуючи та запускаючи додаткові інструменти на пристрої. Якщо ціль вважається цікавою, зловмисники можуть розгорнути інші інструменти, які забезпечують подальший віддалений доступ.
Останньою розгортається версія програми-вимагача Scarab. Цей варіант може внутрішньо розгортати ClipBanker, шкідливе програмне забезпечення для відстеження та зміни вмісту буфера обміну, який може бути адресою гаманця криптовалюти, на адресу зловмисників.
Крім цього, наразі розробляється нове сімейство програм-вимагачів ScRansom, зразки яких були завантажені на VirusTotal. Дослідники ESET з великою впевненістю вважають, що це шкідливе програмне забезпечення написали ті ж розробники, що й Spacecolon. ScRansom намагається зашифрувати всі жорсткі, змінні та віддалені диски. Спеціалісти ESET поки не фіксували розгортання цього програмного забезпечення в реальному середовищі, і, ймовірно, воно все ще перебуває на стадії розробки.
У зв’язку з небезпекою подальшого поширення загрози спеціалісти ESET рекомендують застосувати актуальні оновлення програмного забезпечення, на додаток до паролів використовувати двофакторну автентифікацію для входу в облікові записи та встановити програми для захисту ваших комп’ютерів та мобільних пристроїв від різних загроз, включно з програмами-вимагачами, фішинг-атаками та іншими видами шкідливих програм.