Программа-вымогатель ScRansom атакует малый и средний бизнес
ScRansom Ransomware — одна из самых опасных инфекций. Это специально созданный штамм вируса-вымогателя, разработанный злоумышленником, известным как CosmicBeetle. ScRansom Ransomware сеет хаос среди малого и среднего бизнеса (SMB) по всей Европе, Азии, Африке и Южной Америке.
ScRansom стал изощренным оружием в руках киберпреступников, которые стремятся использовать слабые места в широком спектре отраслей. По мере своего распространения ScRansom Ransomware вызывает серьезные опасения в сфере кибербезопасности. Ниже мы рассмотрим подробнее, что такое ScRansom, как он работает и чего он стремится достичь.
Table of Contents
Понимание программы-вымогателя ScRansom
ScRansom — это относительно новый штамм вируса-вымогателя, который заменил более ранний вариант Scarab , ранее развернутый CosmicBeetle. Этот новый штамм проник и нацелился на предприятия в различных секторах, включая производство, здравоохранение, фармацевтику, технологии и даже региональные правительства. CosmicBeetle, также известный под псевдонимом NONAME , зарекомендовал себя как заметный игрок в мире киберпреступности, в частности, благодаря своему набору инструментов Spacecolon для доставки вредоносных полезных нагрузок.
ScRansom, хотя и не самый сложный на рынке, постоянно обновляется и совершенствуется. По словам исследователей кибербезопасности, CosmicBeetle повышает эффективность программы-вымогателя, в частности, за счет использования инструментов других групп программ-вымогателей и улучшения векторов атак. Несмотря на свой статус разработки, ScRansom скомпрометировал интересные и ценные цели.
Что делают программы-вымогатели
Программы-вымогатели, такие как ScRansom, предназначены для заражения систем, шифрования файлов и требования выкупа от жертв в обмен на ключи дешифрования. Они часто внедряются посредством фишинговых атак, взлома паролей методом подбора или использования известных уязвимостей системы. Как только программа-вымогатель попадает в сеть, она быстро распространяется, шифруя важные данные и файлы, в результате чего предприятия не могут эффективно работать.
Цель этих программ проста: вымогать деньги у своих жертв. В случае ScRansom, после шифрования файлов, злоумышленники требуют выкуп за восстановление доступа. Если жертвы отказываются платить, они часто сталкиваются с риском постоянной потери данных, так как ScRansom имеет режим «ERASE», который делает файлы невосстановимыми, перезаписывая их случайными данными. Это делает для жертв чрезвычайно сложным восстановление своих данных без ключа шифрования, который доступен только после уплаты выкупа.
Чего хочет ScRansom
Основной целью ScRansom, как и большинства штаммов программ-вымогателей, является финансовая выгода. CosmicBeetle стремится извлечь выгоду из уязвимых систем, требуя выкуп в обмен на ключи дешифрования. Однако создатели ScRansom пошли еще дальше, попытавшись использовать репутацию других известных групп программ-вымогателей, чтобы заставить жертв заплатить.
Одна из заметных тактик включает в себя инструменты и методы CosmicBeetle, заимствованные у более печально известных групп вымогателей, таких как LockBit. В некоторых случаях они пытались представить свои атаки так, как будто их проводили более известные группы. Делая это, они стремятся повысить вероятность того, что жертвы быстро заплатят выкуп, опасаясь, что имеют дело с более опасными и известными злоумышленниками.
Другим примечательным аспектом стратегии ScRansom является ее возможная связь с RansomHub, другой группой вымогателей. Доказательства указывают на то, что полезные нагрузки ScRansom и RansomHub были развернуты на одних и тех же целевых системах в течение короткого периода времени, что предполагает определенный уровень сотрудничества или общих методов между двумя группами.
Как ScRansom проникает в системы
CosmicBeetle использует различные методы атак для доставки ScRansom, включая атаки методом подбора и эксплуатацию известных уязвимостей. Эти уязвимости, многие из которых были публично раскрыты и исправлены, по-прежнему активно используются киберпреступниками для проникновения в системы, которые не были должным образом защищены. Среди наиболее часто используемых ScRansom уязвимостей — CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475 и CVE-2023-27532.
Попав в систему, вирус-вымогатель использует несколько инструментов, таких как Reaper, Darkside и RealBlindingEDR, чтобы отключить меры безопасности и избежать обнаружения. Способность ScRansom завершать процессы безопасности делает его особенно опасным, поскольку он может обойти многие защитные механизмы, которые организации используют для защиты своих систем.
Возрастающая угроза ScRansom
Рост популярности ScRansom подчеркивает продолжающуюся эволюцию программ-вымогателей как инструмента кибервымогательства. Поскольку злоумышленники постоянно разрабатывают новые штаммы и совершенствуют существующие, предприятиям всех размеров необходимо сохранять бдительность. В частности, малые и средние предприятия стали основной целью из-за их часто ограниченных ресурсов кибербезопасности и защиты.
Частые обновления ScRansom от CosmicBeetle демонстрируют их стремление к повышению эффективности программы-вымогателя. Группа даже экспериментировала с использованием таких инструментов, как конструктор LockBit, чтобы расширить свои возможности, надеясь повторить успех более крупных и известных операций по использованию программ-вымогателей. Это постоянное совершенствование предполагает, что ScRansom может стать еще более грозной угрозой в ближайшем будущем.
Защита от ScRansom и других программ-вымогателей
Чтобы защититься от программ-вымогателей, таких как ScRansom, предприятия должны предпринимать упреждающие шаги для защиты своих сетей. Регулярное исправление известных уязвимостей, внедрение надежных политик паролей и обеспечение осведомленности сотрудников о рисках фишинга имеют решающее значение. Кроме того, передовые решения безопасности, такие как инструменты Endpoint Detection and Response (EDR), могут помочь обнаружить и заблокировать программы-вымогатели до того, как они смогут нанести значительный ущерб.
По мере развития программ-вымогателей предприятиям необходимо адаптироваться и укреплять свою киберзащиту, чтобы избежать этих все более сложных угроз. Хотя ScRansom пока не является самым продвинутым штаммом программ-вымогателей, его потенциал роста и настойчивость CosmicBeetle не следует недооценивать.
