„ScRansom Ransomware“ užpuola mažas ir vidutines įmones
„ScRansom Ransomware“ yra viena pavojingiausių infekcijų. Tai pagal užsakymą sukurta išpirkos reikalaujanti programa, kurią sukūrė grėsmės veikėjas, žinomas kaip CosmicBeetle. „ScRansom Ransomware“ sukelia sumaištį mažoms ir vidutinėms įmonėms (MVĮ) visoje Europoje, Azijoje, Afrikoje ir Pietų Amerikoje.
„ScRansom“ pasirodė kaip sudėtingas ginklas kibernetinių nusikaltėlių rankose, siekiant išnaudoti įvairių pramonės šakų trūkumus. Kadangi „ScRansom Ransomware“ ir toliau plinta, ji kelia didelį susirūpinimą dėl kibernetinio saugumo kraštovaizdžio. Čia atidžiau pažvelkime į tai, kas yra „ScRansom“, kaip ji veikia ir ko ji siekia.
Table of Contents
„ScRansom Ransomware“ supratimas
„ScRansom“ yra palyginti nauja išpirkos reikalaujančių programų atmaina, kuri pakeitė ankstesnį „Scarab“ variantą, kurį anksčiau įdiegė „CosmicBeetle“. Ši nauja atmaina įsiskverbė į įvairių sektorių įmones, įskaitant gamybą, sveikatos priežiūrą, farmaciją, technologijas ir net regionines vyriausybes, ir jas nukreipė. „CosmicBeetle“, dar žinomas slapyvardžiu NONAME , įsitvirtino kaip žymus žaidėjas kibernetinių nusikaltimų pasaulyje, ypač naudodamas „Spacecolon“ įrankių rinkinį, skirtą kenkėjiškoms apkrovoms perduoti.
Nors „ScRansom“ nėra pati sudėtingiausia išpirkos reikalaujanti programinė įranga, ji nuolat atnaujinama ir tobulinama. Kibernetinio saugumo tyrėjų teigimu, „CosmicBeetle“ pagerino išpirkos reikalaujančios programos veiksmingumą, ypač priimdama įrankius iš kitų išpirkos reikalaujančių programų grupių ir tobulindama jos atakų vektorius. Nepaisant savo vystymosi statuso, „ScRansom“ pakenkė įdomiems ir vertingiems tikslams.
Ką daro Ransomware programos
Išpirkos reikalaujančios programos, tokios kaip ScRansom, yra skirtos užkrėsti sistemas, užšifruoti failus ir reikalauti iš aukų išpirkos mokėjimų mainais į iššifravimo raktus. Jie dažnai diegiami per sukčiavimo atakas, žiaurios jėgos slaptažodžių nulaužimą arba išnaudojant žinomus sistemos pažeidžiamumus. Kai išpirkos reikalaujanti programinė įranga patenka į tinklą, ji greitai plinta, užšifruodama esminius duomenis ir failus, todėl įmonės negali veikti efektyviai.
Šių programų tikslas paprastas: išvilioti pinigus iš jų aukų. „ScRansom“ atveju, užšifravę failus, užpuolikai reikalauja išpirkos, kad atkurtų prieigą. Jei aukos atsisako mokėti, jos dažnai susiduria su rizika prarasti duomenis visam laikui, nes „ScRansom“ turi „ERASE“ režimą, kuris padaro failus neatkuriamus, perrašant juos atsitiktiniais duomenimis. Dėl to aukoms labai sunku atkurti savo duomenis be šifravimo rakto, kuris pasiekiamas tik sumokėjus išpirką.
Ko nori „ScRansom“.
Pagrindinis „ScRansom“, kaip ir daugelio išpirkos reikalaujančių programų, tikslas yra finansinė nauda. „CosmicBeetle“ siekia pasinaudoti pažeidžiamomis sistemomis, reikalaudama išpirkų mainais už iššifravimo raktus. Tačiau „ScRansom“ kūrėjai žengė žingsnį toliau, bandydami panaudoti kitų aukšto lygio išpirkos reikalaujančių programų grupių reputaciją, kad priverstų aukas mokėti.
Viena reikšminga taktika yra „CosmicBeetle“ įrankiai ir metodai, pasiskolinti iš liūdnesnių išpirkos programų grupių, tokių kaip „LockBit“. Kai kuriais atvejais jie stengėsi, kad išpuoliai atrodytų taip, tarsi juos vykdė labiau nusistovėjusios grupės. Taip jie siekia padidinti tikimybę, kad aukos greitai sumokės išpirką, bijodamos, kad susidurs su pavojingesniais ir žinomesniais užpuolikais.
Kitas pastebimas „ScRansom“ strategijos aspektas yra galimas ryšys su „RansomHub“, kita „ransomware“ grupe. Įrodymai rodo, kad „ScRansom“ ir „RansomHub“ naudingieji kroviniai buvo panaudoti tose pačiose tikslinėse sistemose per trumpą laiką, o tai rodo tam tikrą dviejų grupių bendradarbiavimo ar bendrų metodų lygį.
Kaip „ScRansom“ įsiskverbia į sistemas
„CosmicBeetle“ naudoja įvairius atakos metodus, kad pristatytų „ScRansom“, įskaitant brutalios jėgos atakas ir žinomų pažeidžiamumų išnaudojimą. Šiuos pažeidžiamumus, kurių daugelis buvo viešai atskleisti ir pataisyti, kibernetiniai nusikaltėliai vis dar aktyviai naudojasi, kad įsiskverbtų į sistemas, kurios nebuvo tinkamai apsaugotos. Tarp dažniausiai „ScRansom“ naudojamų pažeidžiamumų yra CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 ir CVE-2523.
Patekusi į sistemą, išpirkos reikalaujanti programa naudoja kelis įrankius, tokius kaip Reaper, Darkside ir RealBlindingEDR, kad išjungtų saugos priemones ir išvengtų aptikimo. Dėl „ScRansom“ galimybės nutraukti saugos procesus jis yra ypač pavojingas, nes gali apeiti daugelį gynybos organizacijų, kurios turi apsaugoti savo sistemas.
Didėjanti „ScRansom“ grėsmė
„ScRansom“ atsiradimas pabrėžia nuolatinę išpirkos reikalaujančios programinės įrangos, kaip kibernetinio turto prievartavimo įrankio, raidą. Užpuolikai nuolat kuria naujas ir tobulina esamas, todėl visų dydžių įmonės turi išlikti budrios. Visų pirma MVĮ tapo pagrindiniu taikiniu dėl dažnai ribotų kibernetinio saugumo išteklių ir gynybos priemonių.
„CosmicBeetle“ dažnai atnaujinami „ScRansom“ rodo jų įsipareigojimą gerinti išpirkos reikalaujančios programos efektyvumą. Grupė netgi eksperimentavo naudodama tokius įrankius kaip „LockBit“ kūrėjas, kad pagerintų savo galimybes, tikėdamasi pamėgdžioti didesnių, labiau žinomų išpirkos reikalaujančių operacijų sėkmę. Šis nuolatinis tobulinimas rodo, kad „ScRansom“ artimiausiu metu gali tapti dar didesne grėsme.
Apsauga nuo „ScRansom“ ir kitų „Ransomware“ programų
Siekdamos apsisaugoti nuo išpirkos reikalaujančių programų, pvz., „ScRansom“, įmonės turi imtis aktyvių veiksmų, kad apsaugotų savo tinklus. Reguliarus žinomų pažeidžiamumų pataisymas, griežtos slaptažodžių politikos įgyvendinimas ir darbuotojų supratimo apie sukčiavimo riziką yra labai svarbu. Be to, pažangūs saugos sprendimai, pvz., Endpoint Detection and Response (EDR) įrankiai, gali padėti aptikti ir blokuoti išpirkos reikalaujančias programas, kol jos nepadarys didelės žalos.
Vystantis išpirkos reikalaujančioms programoms, įmonės turi prisitaikyti ir sustiprinti savo kibernetinio saugumo apsaugą, kad išvengtų šių vis sudėtingesnių grėsmių. Nors „ScRansom“ dar nėra pati pažangiausia išpirkos reikalaujančių programų padermė, jos augimo potencialo ir „CosmicBeetle“ atkaklumo nereikėtų nuvertinti.
