ESET 研究人員發現了針對歐洲和亞洲中小型企業的勒索軟體。這波基於 ScRansom 的網路攻擊背後是駭客組織 CosmicBeetle。它自 2020 年以來一直活躍,利用未修補的漏洞滲透易受攻擊的系統並勒索資金,包括向法國公司勒索資金。
ESET 研究人員發現了一種新勒索軟體的蹤跡。這種名為 ScRansom 的惡意軟體攻擊中小企業(PME),“主要在歐洲和亞洲”。 ScRansom 的特權受害者在製造、製藥、教育、衛生、技術、酒店休閒或行政部門工作。
ESET發布的受害者地圖顯示,該病毒已向位於法國的公司勒索金錢。在列出拒絕合作的受害者資料的 ScRansom 暗網站上,還有一家總部位於摩納哥的公司。它自 2024 年 8 月以來一直運作。
另請閱讀:為什麼網路犯罪者越來越貪婪
CosmicBeetle 發起的活動
在這波攻擊的背後,我們發現宇宙甲蟲,一個自 2020 年以來活躍的團夥。在該小組的武器庫中,ESET 發現了 ScHackTool(一種旨在繞過系統安全性的工具)或 ScInstaller(能夠在電腦上安裝惡意軟體)。這些工具對於勒索軟體攻擊至關重要。
該團夥開始使用來自LockBit,專門從事敲詐勒索的主要團夥。尤其是海盜回收的 Lockbit 勒索軟體,其原始碼可在暗網上取得發生洩漏後。正如 ESET 研究員 Jakub Souček 所解釋的那樣,該團體想利用 Lockbit 的惡名:
「可能是由於從頭開始編寫自訂勒索軟體存在障礙,CosmicBeetle 試圖利用 LockBit 的聲譽,也許是為了掩蓋其原始勒索軟體的問題,從而增加受害者付款的機會 »。
據研究人員稱,CosmicBeetle 隨後更接近勒索中心,一個不斷發展的勒索軟體即服務網絡。從那時起,該團夥開始使用 ScRansom,這是一種不斷演變的勒索軟體。
未修補的缺陷,對 CosmicBeetle 來說是個福音
為了將病毒滲透到目標系統,該團體依靠暴力攻擊。顯然,駭客在獲得正確的密碼之前會測試多種組合。 ESET 補充說 CosmicBeetle 也經營安全漏洞,已披露並更正。該團夥實際上針對的是尚未安裝補丁的中小企業,這為網路攻擊打開了大門:
“(全球)所有行業的中小型企業都是該行為者的常見受害者,因為他們最有可能使用過時的軟體並且缺乏強大的數據管理流程。”
儘管 RansomHub 做出了努力,但 ScRansom 並沒有“不是很複雜的勒索軟體”。事實上,碰巧的是文件解密沒有如預期發生。 CosmicBeetle 提供的解密金鑰並不總是有效,這可能會導致“一些文件”。即使公司支付贖金,加密文件也可能遺失“無可救藥”。而且即使一切順利,“破解既漫長又複雜”。這是不支付網路犯罪分子索要的贖金的另一個原因。
