I ricercatori di ESET hanno identificato un nuovo ransomware chiamato ScRansom, sviluppato dal gruppo di cybercriminali noto come CosmicBeetle. Questo gruppo ha iniziato a colpire piccole e medie imprese (PMI) in Europa e Asia. Secondo ESET, CosmicBeetle sembra voler sfruttare la notorietà di LockBit per rendere le sue operazioni più efficaci e spingere le vittime al pagamento del riscatto.
Gli esperti sospettano che CosmicBeetle sia affiliato alla gang RansomHub, un nuovo servizio ransomware-as-a-service (RaaS) attivo da marzo 2024. Gli attacchi recenti mostrano una strategia interessante: l’implementazione di ScRansom e RansomHub sulla stessa macchina a pochi giorni di distanza, una tattica insolita ma in linea con il comportamento del gruppo. L’obiettivo principale di CosmicBeetle sembra essere quello di mascherare le lacune tecniche del proprio ransomware utilizzando nomi più noti come LockBit.
CosmicBeetle utilizza spesso attacchi brute-force per violare i sistemi delle PMI, prendendo di mira in particolare quelle con vulnerabilità note o una gestione delle patch poco rigorosa. Le aziende colpite appartengono a vari settori, tra cui produzione, sanità, tecnologia, farmaceutico, legale e servizi finanziari. Queste organizzazioni sono particolarmente vulnerabili a causa delle risorse limitate dedicate alla sicurezza informatica, un aspetto su cui i criminali fanno leva.
ScRansom non è considerato un ransomware particolarmente sofisticato, ma può comunque infliggere danni significativi. Tra le sue capacità, oltre alla crittografia dei file, c’è la possibilità di arrestare processi critici sulla macchina infetta, complicando ulteriormente il recupero dei dati. Nonostante le sue lacune tecniche, CosmicBeetle è riuscito a compromettere diversi obiettivi di valore, dimostrando come un ransomware relativamente semplice possa essere pericoloso.
Gli esperti di ESET sono riusciti a ottenere un decryptor per ScRansom, ma avvertono che il processo di decrittazione rimane complesso e incline a errori. Il decryptor dipende dalla consegna di chiavi corrette da parte degli autori dell’attacco, e anche in questo caso, alcuni file potrebbero essere permanentemente danneggiati. Il continuo sviluppo di ScRansom lascia presagire ulteriori complicazioni e rischi per le vittime.
CosmicBeetle, attivo dal 2020, è stato scoperto ufficialmente nel 2023 e deve la sua reputazione all’utilizzo di strumenti personalizzati sviluppati in Delphi, come la suite Spacecolon, che include tool come ScHackTool e ScPatcher.
https://www.securityopenlab.it/news/4070/ransomware-specializzato-negli-attacchi-alle-pmi.html
