ESET 研究人员发现了针对欧洲和亚洲中小型企业的勒索软件。这波基于 ScRansom 的网络攻击背后是黑客组织 CosmicBeetle。它自 2020 年以来一直活跃,利用未修补的漏洞渗透易受攻击的系统并勒索资金,包括向法国公司勒索资金。
ESET 研究人员发现了一种新勒索软件的踪迹。这种名为 ScRansom 的恶意软件攻击中小企业(PME),“主要在欧洲和亚洲”。 ScRansom 的特权受害者在制造、制药、教育、卫生、技术、酒店休闲或行政部门工作。
ESET发布的受害者地图显示,该病毒已向位于法国的公司勒索钱财。在列出拒绝合作的受害者数据的 ScRansom 暗网站上,还有一家总部位于摩纳哥的公司。它自 2024 年 8 月以来一直运营。
另请阅读:为什么网络犯罪分子越来越贪婪
CosmicBeetle 发起的活动
在这波攻击的背后,我们发现宇宙甲虫,一个自 2020 年以来活跃的团伙。去年,该团伙通过使用 Delphi 编程语言开发的自定义恶意软件工具而受到关注。在该小组的武器库中,ESET 发现了 ScHackTool(一种旨在绕过系统安全性的工具)或 ScInstaller(能够在计算机上安装恶意软件)。这些工具对于勒索软件攻击至关重要。
该团伙开始使用来自LockBit,专门从事敲诈勒索的主要团伙。尤其是海盗回收的 Lockbit 勒索软件,其源代码可在暗网上获取发生泄漏后。正如 ESET 研究员 Jakub Souček 解释的那样,该团伙想利用 Lockbit 的恶名:
“可能是由于从头开始编写自定义勒索软件存在障碍,CosmicBeetle 试图利用 LockBit 的声誉,也许是为了掩盖其原始勒索软件的问题,从而增加受害者付款的机会 »。
据研究人员称,CosmicBeetle 随后更接近勒索中心,一个不断发展的勒索软件即服务网络。从那时起,该团伙开始使用 ScRansom,这是一种不断演变的勒索软件。
未修补的缺陷,对 CosmicBeetle 来说是一个福音
为了将病毒渗透到目标系统,该团伙依靠暴力攻击。显然,黑客在获得正确的密码之前会测试多种组合。 ESET 补充说 CosmicBeetle 也运营安全漏洞,已披露并更正。该团伙实际上针对的是尚未安装补丁的中小企业,这为网络攻击打开了大门:
“(全球)所有行业的中小型企业都是该行为者的常见受害者,因为他们最有可能使用过时的软件并且缺乏强大的数据管理流程。”
尽管 RansomHub 做出了努力,但 ScRansom 并没有“不是很复杂的勒索软件”。事实上,碰巧的是文件解密没有按预期发生。 CosmicBeetle 提供的解密密钥并不总是有效,这可能会导致“一些文件”。即使公司支付赎金,加密文件也可能丢失“无可救药”。而且即使一切顺利,“破译既漫长又复杂”。这是不支付网络犯罪分子索要的赎金的又一个原因。
