ScRansom Ransomware angriper små og mellomstore bedrifter
ScRansom Ransomware er en av de farligste infeksjonene. Det er en spesialbygd løsepengevare-stamme utviklet av en trusselaktør kjent som CosmicBeetle. ScRansom Ransomware forårsaker kaos for små og mellomstore bedrifter (SMB) over hele Europa, Asia, Afrika og Sør-Amerika.
ScRansom har dukket opp som et sofistikert våpen i nettkriminelles hender, og forsøker å utnytte svakheter i et bredt spekter av bransjer. Ettersom den fortsetter å spre seg, vekker ScRansom Ransomware betydelige bekymringer for cybersikkerhetslandskapet. Her er en nærmere titt på hva ScRansom er, hvordan den fungerer og hva den har som mål å oppnå.
Table of Contents
Forstå ScRansom Ransomware
ScRansom er en relativt ny stamme av løsepengevare, som har erstattet en tidligere variant kalt Scarab , tidligere distribuert av CosmicBeetle. Denne nye stammen har infiltrert og målrettet virksomheter i ulike sektorer, inkludert produksjon, helsevesen, farmasøytiske produkter, teknologi og til og med regionale myndigheter. CosmicBeetle, også kjent under aliaset NONAME , har etablert seg som en bemerkelsesverdig aktør i cyberkrimverdenen, spesielt gjennom sitt Spacecolon-verktøysett for å levere ondsinnede nyttelaster.
Selv om det ikke er den mest sofistikerte løsepengevaren på markedet, blir ScRansom kontinuerlig oppdatert og raffinert. I følge cybersikkerhetsforskere har CosmicBeetle forbedret løsepengevarens effektivitet, spesielt ved å ta i bruk verktøy fra andre løsepengevaregrupper og forbedre angrepsvektorene. Til tross for sin utviklingsstatus, har ScRansom kompromittert interessante og verdifulle mål.
Hva Ransomware-programmer gjør
Ransomware-programmer som ScRansom er utviklet for å infisere systemer, kryptere filer og kreve løsepenger fra ofre i bytte mot dekrypteringsnøkler. De blir ofte distribuert gjennom phishing-angrep, brute-force passordknekking eller utnyttelse av kjente systemsårbarheter. Når løsepengevaren er inne i et nettverk, sprer den seg raskt, krypterer viktige data og filer, slik at virksomheter ikke kan operere effektivt.
Målet med disse programmene er enkelt: presse penger fra ofrene deres. Når det gjelder ScRansom, etter å ha kryptert filer, krever angriperne løsepenger for å gjenopprette tilgangen. Hvis ofre nekter å betale, står de ofte overfor risikoen for permanent tap av data, ettersom ScRansom har en "ERASE"-modus som gjør filer ugjenopprettelige ved å overskrive dem med tilfeldige data. Dette gjør det ekstremt vanskelig for ofre å gjenopprette dataene sine uten krypteringsnøkkelen, som kun er tilgjengelig etter løsepenger.
Hva ScRansom ønsker
Hovedmålet med ScRansom, som de fleste ransomware-stammer, er økonomisk gevinst. CosmicBeetle har som mål å utnytte sårbare systemer ved å kreve løsepenger i bytte mot dekrypteringsnøkler. ScRansoms skapere har imidlertid gått et skritt videre ved å forsøke å utnytte omdømmet til andre høyprofilerte løsepengevaregrupper for å presse ofrene til å betale.
En bemerkelsesverdig taktikk involverer CosmicBeetles verktøy og teknikker lånt fra mer beryktede løsepengevaregrupper som LockBit. I noen tilfeller har de forsøkt å få angrepene sine til å se ut som om disse mer etablerte gruppene utførte dem. Ved å gjøre dette forsøker de å øke sannsynligheten for at ofrene betaler løsepengene raskt, i frykt for at de har å gjøre med farligere og mer kjente angripere.
Et annet bemerkelsesverdig aspekt ved ScRansoms strategi er dens mulige tilkobling til RansomHub, en annen løsepengevaregruppe. Bevis tyder på at ScRansom- og RansomHub-nyttelaster ble distribuert på de samme målsystemene innen en kort tidsramme, noe som antyder et visst nivå av samarbeid eller delte teknikker mellom de to gruppene.
Hvordan ScRansom infiltrerer systemer
CosmicBeetle utnytter en rekke angrepsmetoder for å levere ScRansom, inkludert brute-force-angrep og utnyttelse av kjente sårbarheter. Disse sårbarhetene, hvorav mange har blitt offentliggjort og lappet, brukes fortsatt aktivt av nettkriminelle for å infiltrere systemer som ikke er tilstrekkelig sikret. Blant de mest utnyttede sårbarhetene av ScRansom er CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 og CVE-20323-27.
En gang inne i et system bruker løsepengevaren flere verktøy, som Reaper, Darkside og RealBlindingEDR, for å deaktivere sikkerhetstiltak og unngå oppdagelse. ScRansoms evne til å avslutte sikkerhetsprosesser gjør det spesielt farlig, ettersom det kan omgå mange av forsvarsorganisasjonene har for å beskytte systemene sine.
ScRansoms økende trussel
Fremveksten av ScRansom fremhever den pågående utviklingen av løsepengevare som et verktøy for cyberutpressing. Med angripere som kontinuerlig utvikler nye stammer og forbedrer eksisterende, må bedrifter i alle størrelser være på vakt. Spesielt SMB-er har blitt et primært mål på grunn av deres ofte begrensede cybersikkerhetsressurser og forsvar.
CosmicBeetles hyppige oppdateringer til ScRansom viser deres forpliktelse til å forbedre løsepengevarens effektivitet. Gruppen har til og med eksperimentert med å bruke verktøy som LockBits byggherre for å forbedre sine evner, i håp om å etterligne suksessen til større, mer beryktede løsepengevareoperasjoner. Denne konstante foredlingen antyder at ScRansom kan bli en enda mer formidabel trussel i nær fremtid.
Beskyttelse mot ScRansom og annen ransomware
For å beskytte mot løsepengevare som ScRansom, må bedrifter ta proaktive skritt for å sikre nettverkene sine. Regelmessig oppdatering av kjente sårbarheter, implementering av sterke passordpolicyer og sikre at ansatte vet at phishing-risiko er kritisk. I tillegg kan avanserte sikkerhetsløsninger som Endpoint Detection and Response (EDR)-verktøy bidra til å oppdage og blokkere løsepengevare før den kan forårsake betydelig skade.
Etter hvert som løsepengevare utvikler seg, må bedrifter tilpasse og styrke sitt cybersikkerhetsforsvar for å unngå disse stadig mer sofistikerte truslene. Selv om ScRansom ennå ikke er den mest avanserte løsepengevarestammen, bør dens vekstpotensial og CosmicBeetles utholdenhet ikke undervurderes.
