ESET Research: CosmicBeetle s’associe à d’autres gangs de rançongiciel pour cibler des entreprises d’Europe et d’Asie
Publié le 10/09/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• ESET Research a enquêté sur ScRansom, un nouveau rançongiciel développé par le groupe APT CosmicBeetle.
• CosmicBeetle a expérimenté avec le générateur LockBit fuité et a essayé d'imiter la marque LockBit.
• CosmicBeetle est probablement une filiale récente de RansomHub, l'acteur de ransomware-as-a-service actif depuis mars 2024.
• ScRansom progresse continuellement mais c’est impossible de restaurer certains fichiers ciblés.
• CosmicBeetle exploite des vulnérabilités utilisées depuis plusieurs années pour pirater les PME en se concentrant sur l'Europe et l'Asie.

BRATISLAVA, PRAGUE — Le 10 septembre 2024 — Les chercheurs d’ESET ont répertorié les activités récentes du groupe de menace CosmicBeetle. Ils ont documenté le déploiement de ScRansom, son nouveau rançongiciel, et découvert des connexions avec d’autres gangs de rançongiciel bien établis. CosmicBeetle propage des rançongiciels auprès de PME, principalement en Europe et en Asie. ESET Research a constaté que l’acteur malveillant utilisait le générateur LockBit fuité et essayait de tirer parti de la réputation de LockBit. ESET pense aussi qu’en plus de LockBit, CosmicBeetle est probablement un nouveau membre de RansomHub ransomware-as-a-service, un nouveau gang de rançongiciel actif depuis mars 2024 et en pleine croissance.

« En raison des obstacles posés par l’écriture - à partir de zéro - de rançongiciels personnalisés, CosmicBeetle veut probablement profiter de la réputation de LockBit, probablement pour masquer les problèmes du rançongiciels sous-jacent et augmenter ses chances de faire payer les victimes,» explique Jakub Souček, le chercheur d’ESET, qui a analysé la dernière activité de CosmicBeetle. « Récemment nous avons aussi observé le déploiement des charges utiles ScRansom et RansomHub sur la même machine à seulement une semaine d’intervalle. Cette utilisation de RansomHub était très inhabituelle comparée aux cas typiques observés dans la télémétrie ESET, mais assez similaire au mode de travail de CosmicBeetle. Comme il n’y a pas eu de fuites publiques de RansomHub, cela nous a fait penser, avec une certaine confiance, que CosmicBeetle pourrait être un de leurs récents affiliés », a ajouté Souček.

CosmicBeetle utilise souvent des méthodes de force brute pour pénétrer dans ses cibles. Il exploite aussi, de manière abusive, diverses vulnérabilités connues. Au niveau mondial, des PME dans tous les secteurs d'activité sont les victimes les plus courantes de cet acteur malveillant, car c’est le segment le plus susceptible d'utiliser le logiciel concerné ou de ne pas disposer de processus de gestion de correctifs robustes. ESET Research a observé des attaques de PME dans les secteurs suivants : fabrication, produits pharmaceutiques, droit, éducation, santé, technologie, hôtellerie, loisirs, services financiers et gouvernements régionaux.

En plus du chiffrement, ScRansom peut également tuer divers processus et services sur la machine infectée. ScRansom n’est pas très sophistiqué, bien que CosmicBeetle ait pu compromettre des cibles intéressantes et causer de graves dommages. C’est principalement parce que CosmicBeetle est un acteur immature dans le monde des rançongiciels et que des problèmes limitent le déploiement de ScRansom. Les victimes affectées par ScRansom qui décident de payer, doivent être très prudentes.

ESET Research a réussi à obtenir un décrypteur utilisé par CosmicBeetle pour son récent schéma de chiffrement. ScRansom évolue constamment, ce qui n'est jamais un bon signe pour des rançongiciels. La complexité excessive du processus de chiffrement (et de décryptage) est sujette à des erreurs et cela rend la restauration de tous les fichiers douteux. Un décryptage réussi repose sur le bon fonctionnement du décrypteur et sur la fourniture, par CosmicBeetle, de toutes les clés nécessaires. Mais même dans ce cas, certains fichiers peuvent être définitivement détruits par l'acteur malveillant. Et dans le meilleur des cas, le décryptage est fort long et compliqué.

CosmicBeetle, actif depuis au moins 2020, est le nom que les chercheurs d'ESET ont donné à un acteur de menace découvert en 2023. Ce dernier est surtout connu pour l'utilisation de sa collection personnalisée d'outils Delphi, généralement appelée Spacecolon et composée de ScHackTool, ScInstaller, ScService et ScPatcher.

Pour plus d'informations techniques sur la dernière activité de CosmicBeetle, consultez le blog “CosmicBeetle steps up: Probation period at RansomHub” sur WeLiveSecurity.com. Suivez aussi ESET Research sur Twitter (aujourd'hui connu sous le nom de X) pour les dernières nouvelles d'ESET Research.
ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?