ESET-Forscher veröffentlichten im September 2024 einen Bericht über die wiederauflebende Aktivität der Ransomware-Gruppe CosmicBeetle. Die seit 2020 aktive Gruppe meldet sich mit einer neuen Kampagne zurück, die auf kleine und mittlere Unternehmen (KMU) in ganz Europa und Asien abzielt. Was ist ihre Waffe? Eine Ransomware namens ScRansom, die ungepatchte Sicherheitslücken ausnutzt, um die Daten der Opfer zu verschlüsseln und Geld von ihnen zu erpressen. Diese Malware ist zwar noch nicht auf dem Höhepunkt ihrer Raffinesse, richtet aber dennoch großen Schaden an. Ursprünglich basierte CosmicBeetle auf Tools aus dem geleakten LockBit-Code und könnte laut ESET nun mit RansomHub, einem schnell wachsenden Ransomware-as-a-Service-Netzwerk (RaaS), in Verbindung gebracht werden.
CosmicBeetle: Eine Ransomware-Gang, die seit 2020 aktiv ist.
Seit ihren Anfängen im Jahr 2020 hat sich CosmicBeetle mit gewagten Angriffen in der Cybercrime-Landschaft etabliert. Die bösartige Gruppe machte sich zunächst einen Namen, indem sie Tools verwendete, die auf der bekannten LockBit-Ransomware basierten, einem Code, der bei Erpressungsangriffen weit verbreitet ist. Unter Ausnutzung eines Leaks des LockBit-Quellcodes im Dark Web erbeutete CosmicBeetle diese Tools und modifizierte sie, um eigene Angriffe zu entwickeln.
Die Bande entwickelte sich daraufhin weiter und begann, ihre eigene Malware zu entwickeln. In diesem Rahmen setzten sie ScRansom ein, eine maßgeschneiderte Ransomware, die mittlerweile auf verschiedene Branchen abzielt, darunter Gesundheit, Bildung, Technologie und sogar lokale Regierungseinrichtungen. Laut der jüngsten ESET-Studie hat sich CosmicBeetle höchstwahrscheinlich mit RansomHub, einem Ransomware-as-a-Service-Dienst, verbündet, um sein Arsenal zu verstärken. Jakub Souček, Forscher bei ESET, erklärt, er habe kürzlich „einen interessanten Fall untersucht , der uns zu der Annahme veranlasst, dass CosmicBeetle ein neuer Affiliate von RansomHub sein könnte. „.
ScRansom: Eine Ransomware, die sich ständig weiterentwickelt.
ScRansom gilt noch nicht als eine der raffiniertesten Ransomware, wird aber ständig verbessert. Diese in Delphi entwickelte Ransomware hat die Fähigkeit, Dateien teilweise zu verschlüsseln, was den Angriffsprozess beschleunigt und gleichzeitig die Wahrscheinlichkeit erhöht, dass das Opfer für die Freigabe seiner Daten bezahlt. Diese Ransomware stützt sich auf eine Reihe von Tools, die unter dem Namen Spacecolon zusammengefasst sind. Dazu gehören ScHackTool, ScInstaller, ScService und ScPatcher, die jeweils darauf ausgelegt sind, die Infiltration und Verschlüsselung von Daten zu maximieren. Die Verwendung der IPWorks-Bibliothek für die Verschlüsselung erhöht die Wirksamkeit der Angriffe, aber der Entschlüsselungsprozess bleibt unvollkommen. Laut ESET-Telemetrie können mehrere Entschlüsselungsschlüssel erforderlich sein, und selbst dann sind einige Dateien unwiederbringlich beschädigt. CosmicBeetle kompensierte seine Unreife, indem er LockBit nachahmte, in der Hoffnung, die Opfer in die Irre zu führen und die Chancen auf eine Auszahlung zu erhöhen.
„ScRansom-Opfer, die sich für eine Zahlung entscheiden, sollten vorsichtig sein. Obwohl der Entschlüsseler selbst wie erwartet funktioniert (zum Zeitpunkt des Schreibens), werden oft mehrere Entschlüsselungsschlüssel benötigt und einige Dateien können für immer verloren sein, je nachdem, wie CosmicBeetle bei der Verschlüsselung vorgegangen ist“, erklären die ESET-Sucher.
CosmicBeetle hat übrigens seine vorherige Ransomware, Scarab, durch ScRansom ersetzt, in dem Bestreben, sich ständig zu verbessern. Die Gruppe nutzt den durchgesickerten LockBit-Builder, um sich als diese berühmte Bande auszugeben. Die Forscher beobachteten diese Usurpation in den Lösegeldnoten, aber auch auf speziellen Leak-Websites. Diese Versuche, sich eine glaubwürdige Identität zu verschaffen, verbergen in Wirklichkeit eine gewisse technische Unreife der Gruppe. Doch selbst wenn ihre Ransomware nicht die Raffinesse ihrer Konkurrenten erreicht, bleiben kleine und mittlere Unternehmen anfällig für solche wiederholten Cyberangriffe, insbesondere wenn sie trotz Zahlung des Lösegelds mit unwiederbringlichen Verlusten konfrontiert sind. Und da ein Unglück nie allein kommt, ist ScRansom mit einem speziellen Modus namens „ERASE“ ausgestattet, der bestimmte Dateien selbst nach Zahlung unwiederbringlich macht.
Ungepatchte Schwachstellen und Brute Force: die CosmicBeetle-Methode
Um Systeme zu infiltrieren, stützt sich CosmicBeetle hauptsächlich auf zwei Methoden: das Ausnutzen ungepatchter Schwachstellen und Brute-Force-Angriffe. Beim Brute-Force-Prinzip werden Tausende von Passwortkombinationen getestet, bis das Passwort gefunden wird, das den Zugang zu einem System freigibt. Diese Art von Angriff ist besonders effektiv gegen kleine und mittlere Unternehmen, die oftmals weniger gut geschützt sind als große Unternehmen.
Die von CosmicBeetle durchgeführten Angriffe nutzen häufig bekannte Sicherheitslücken, insbesondere Schwachstellen wie CVE-2023-27532 , eine Schwachstelle in einer Backup- und Replikationskomponente von Veeam, die auch von EstateRansomware ausgenutzt wird (für weitere Details siehe unseren speziellen Artikel). Obwohl diese Schwachstellen bereits durch Updates behoben wurden, bleiben sie eine offene Tür für Hacker, wenn sie von den betroffenen Unternehmen nicht gepatcht werden. CosmicBeetle zielt speziell auf kleine und mittlere Unternehmen ab, die keinen strengen Patch-Management-Prozess pflegen.
Laut ESET werden die folgenden Schwachstellen ausgenutzt:
- CVE-2017-0144 (aka EternalBlue),
- CVE-2023-27532 (eine Schwachstelle in einer Veeam Backup & Replication-Komponente),
- CVE-2021-42278 und CVE-2021-42287 (AD privilege escalation vulnerabilities) through noPac,
- CVE-2022-42475 (eine Schwachstelle in FortiOS SSL-VPN), und
- CVE-2020-1472 (aka Zerologon).
Unternehmen, die Opfer von ScRansom werden, stehen dann vor dem Dilemma, entweder das geforderte Lösegeld zu zahlen oder den endgültigen Verlust ihrer Daten zu riskieren. Doch selbst in den Fällen, in denen ein Lösegeld gezahlt wird, ist der Entschlüsselungsprozess alles andere als zuverlässig. ESET berichtet, dass der von den Hackern bereitgestellte Schlüssel in einigen Fällen nicht richtig funktioniert, was zum endgültigen Verlust der Daten führt. Die Entschlüsselung ist, wenn sie überhaupt möglich ist, oft langwierig und komplex, ein weiterer Faktor, der von der Zahlung abhält.
Verschiedene Branchen im Visier
Die Branchen, die von ScRansom betroffen sind, sind vielfältig. Die Forscher haben Opfer in der Fertigung, im Bildungswesen, im Gesundheitswesen, bei Finanzdienstleistungen, in der Technologiebranche, im Hotelgewerbe und sogar in der Kommunalverwaltung ausgemacht. In Frankreich wurden einige KMUs direkt ins Visier genommen, wobei Cyberangriffe Unternehmen unterschiedlicher Größe betrafen. Die Malware macht keinen Unterschied: Jede Organisation, die ihre Cybersicherheit vernachlässigt, ist ein potenzielles Opfer.
CosmicBeetle und RansomHub: eine strategische Allianz.
Die Verbindung zwischen CosmicBeetle und RansomHub stellt einen wichtigen Schritt in ihrer Strategie dar. RansomHub, ein Ransomware-as-a-Service-Netzwerk (RaaS), ermöglicht es anderen Akteuren der Cyberkriminalität, Ransomware zu „mieten“, um ihre eigenen Angriffe durchzuführen. So konnte CosmicBeetle die Ressourcen von RansomHub wie den EDR-Killer nutzen, um seine Offensiven zu intensivieren. Mehr über das Konzept des EDR-Killers erfahren Sie in unserem Artikel über RansomHub.
„Soweit wir wissen, gibt es keine öffentlichen Leaks des RansomHub-Codes oder seines Entwicklers (obwohl RansomHub selbst wahrscheinlich auf einem Code basiert, der von Knight, einer anderen Ransomware-Gang, gekauft wurde). Daher gehen wir mit mittlerer Zuversicht davon aus, dass CosmicBeetle sich als neuer RansomHub-Affiliate angemeldet hat„, heißt es in der ESET-Studie.
ScRansom: Komplexe Verschlüsselung und unsichere Wiederherstellung.
Die Ransomware ScRansom von CosmicBeetle verwendet ein komplexes Verschlüsselungsschema und leidet gleichzeitig unter einer gewissen Unreife in der Entwicklung, die häufig zu irreversiblen Datenverlusten führt.
Der Prozess generiert für jede Verschlüsselungssitzung einen AES-CTR-128-Schlüssel (ProtectionKey) und ein RSA-1024-Schlüsselpaar (RunKeyPair). Eine Datei enthält dann verschiedene verschlüsselte Informationen, einschließlich des Dateiverschlüsselungsschlüssels (FileKey) und Details zu den verschlüsselten Blöcken.
ScRansom verwendet eine Teilverschlüsselung – nur bestimmte Teile der Datei werden verschlüsselt. Die Verschlüsselungsmethode unterstützt mehrere Verschlüsselungsmodi (FAST, FASTEST, SLOW, FULL und ERASE.), wobei ERASE am gefährlichsten ist, da es Teile der Dateien durch konstante Werte ersetzt und sie damit unwiederbringlich macht. Selbst wenn das Lösegeld gezahlt wurde, ist der Entschlüsselungsprozess oft chaotisch: Jede Decryption ID erfordert einen eigenen ProtectionKey, was die vollständige Wiederherstellung der Daten erschwert.
Der ERASE-Modus stellt ein besonderes Risiko dar, das die Wiederherstellung der Daten unmöglich macht, selbst wenn das Lösegeld gezahlt wird. Ein Opfer musste 31 verschiedene Entschlüsselungs-IDs verwalten , die ebenso viele Schutzschlüssel erforderten. Trotzdem konnten nicht alle Dateien wiederhergestellt werden, was die Ineffizienz und den Dilettantismus von ScRansom unterstreicht.
„Dieser Entschlüsselungsansatz ist typisch für einen unreifen Akteur einer Ransomware-Bedrohung.Erfahrene Banden ziehen es vor, ihren Entschlüsselungsprozess so einfach wie möglich zu gestalten, um die Wahrscheinlichkeit einer korrekten Entschlüsselung zu erhöhen, was wiederum ihren Ruf stärkt und die Wahrscheinlichkeit erhöht, dass die Opfer zahlen. In der Regel (wie im Fall des geleakten LockBit Black Builder) wird ein Entschlüsselungsgerät zusammen mit einem Verschlüsselungsgerät gebaut. Wenn er an das Opfer verteilt wird, ist kein zusätzlicher Aufwand seitens des Nutzers erforderlich, da der Schlüssel bereits in der Binärdatei enthalten ist. Außerdem reicht ein einziger Schlüssel aus, um alle verschlüsselten Dateien zu entschlüsseln, unabhängig davon, wo sie sich im Netzwerk des Opfers befinden“, schreibt Jakub Souček in seiner Analyse.
Wir empfehlen Ihnen, die Studie der ESET-Forscher zu lesen, um weitere technische Details zu erfahren.
In der neuesten Episode des ESET Research Podcasts, die am 24. Oktober 2024 veröffentlicht wurde, analysiert Jakub Souček, leitender Malware-Forscher, ausführlich die Werkzeuge und Taktiken von CosmicBeetle. Verpassen Sie nicht diese Diskussion (auf Englisch) über ihre unorthodoxen und dennoch furchterregenden Methoden.
Wie kann man sich vor ScRansom schützen?
Angesichts der Bedrohung durch ScRansom ist es für Unternehmen, insbesondere für KMU, von entscheidender Bedeutung, eine proaktive Cybersicherheitsstrategie zu verfolgen. Dazu gehören:
- Software regelmäßig aktualisieren: die von den Herstellern bereitgestellten Sicherheitspatches sofort einspielen, um die Ausnutzung von Schwachstellen zu verhindern.
- Passwörter stärken: Entscheiden Sie sich für komplexe Passwörter und aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA).
- Daten sichern: Halten Sie sich bei der Datensicherung mindestens an die 3-2-1-Regel (drei Kopien Ihrer Daten auf zwei verschiedenen Medien und eine Kopie außerhalb des Standorts).
- Sensibilisierung der Mitarbeiter: Regelmäßige Schulungen zu bewährten Verfahren im Bereich der Cybersicherheit können einen großen Unterschied machen.
Wir empfehlen Ihnen in diesem Zusammenhang dringend, die Ratschläge der Anfang Oktober gestarteten Aktion ImpactCyber zur Sensibilisierung von Klein- und Mittelbetrieben für Cyberangriffe zu beachten.
Quelle: CosmicBeetle steps up: Probation period at RansomHub (ESET)
