logo SOS Ransomware
Emergencia 24/7

El grupo de ransomware CosmicBeetle se dirige a las PYME con ScRansom

En septiembre de 2024, los investigadores de ESET publicaron un informe sobre la renovada actividad del grupo de ransomware CosmicBeetle. Activo desde 2020, este grupo ha vuelto con una nueva campaña dirigida a pequeñas y medianas empresas (pymes) de toda Europa y Asia. ¿Su arma? Un ransomware llamado ScRansom que aprovecha fallos de seguridad no parcheados para cifrar los datos de las víctimas y extorsionarlas. Este malware, aunque todavía no ha alcanzado su punto álgido de sofisticación, está causando daños considerables. Inicialmente, CosmicBeetle se basaba en herramientas tomadas del código filtrado de LockBit y, según ESET, ahora podría estar afiliado a RansomHub, una red de ransomware como servicio (RaaS) de rápido crecimiento.

CosmicBeetle: una banda de ransomware activa desde 2020

Desde su creación en 2020, CosmicBeetle ha dejado su huella en el panorama de la ciberdelincuencia con una serie de atrevidos ataques. Este grupo malicioso se dio a conocer por primera vez utilizando herramientas basadas en el famoso ransomware LockBit, un código muy utilizado en ataques de extorsión. Aprovechando una filtración del código fuente de LockBit en la dark web, CosmicBeetle recuperó y modificó estas herramientas para crear sus propios ataques.

La banda evolucionó entonces y comenzó a desarrollar su propio malware. Fue en este contexto en el que desplegaron ScRansom, un ransomware personalizado que ahora se dirige a varios sectores, como la sanidad, la educación, la tecnología e incluso las instituciones gubernamentales locales. Según una investigación reciente de ESET, lo más probable es que CosmicBeetle se haya asociado con RansomHub, un servicio de ransomware como servicio, para reforzar su arsenal. El investigador de ESET Jakub Souček dice que recientemente investigó «un caso interesante que nos lleva a creer que CosmicBeetle puede ser un nuevo afiliado de RansomHub. «.

ScRansom: un ransomware en constante evolución

ScRansom aún no se considera uno de los programas ransomware más sofisticados, pero está en constante mejora. Diseñado en Delphi, este ransomware tiene la capacidad de cifrar parcialmente los archivos, lo que acelera el proceso de ataque al tiempo que aumenta las posibilidades de que la víctima pague para desbloquear sus datos. Este ransomware se basa en una serie de herramientas agrupadas bajo el nombre Spacecolon, incluyendo ScHackTool, ScInstaller, ScService y ScPatcher, cada una diseñada para maximizar la infiltración y el cifrado de datos. El uso de la biblioteca IPWorks para el cifrado aumenta la eficacia de los ataques, pero el proceso de descifrado sigue siendo imperfecto. Según la telemetría de ESET, pueden ser necesarias varias claves de descifrado, e incluso así algunos archivos quedan irreparablemente dañados. CosmicBeetle ha compensado su inmadurez imitando a LockBit, con la esperanza de engañar a las víctimas y aumentar las posibilidades de pago.

«Las víctimas de ScRansom que decidan pagar deben ser cautelosas. Aunque el descifrador en sí funciona como se esperaba (en el momento de escribir esto), a menudo se requieren varias claves de descifrado y algunos archivos pueden perderse permanentemente, dependiendo de la forma en que CosmicBeetle haya procedido durante el cifrado», dicen los investigadores de ESET.

CosmicBeetle también ha sustituido su anterior ransomware, Scarab, por ScRansom, en un esfuerzo constante por mejorar. El grupo está aprovechando la filtración del constructor de LockBit para hacerse pasar por esta conocida banda. Los investigadores han observado esta suplantación en notas de rescate, pero también en sitios dedicados a las filtraciones. En realidad, estos intentos de crear una identidad creíble enmascaran cierta inmadurez técnica por parte del grupo. Sin embargo, aunque su ransomware no alcance el nivel de sofisticación de sus competidores, las PYME siguen siendo vulnerables a estos ciberataques repetidos, sobre todo cuando se enfrentan a pérdidas irremediables, a pesar del pago del rescate. Y como la mala suerte nunca viene sola, ScRansom está equipado con un modo especial llamado «ERASE», que hace irrecuperables ciertos archivos, incluso después del pago.

Vulnerabilidades sin parches y fuerza bruta: el método CosmicBeetle

CosmicBeetle utiliza dos métodos principales para infiltrarse en los sistemas: la explotación de vulnerabilidades no parcheadas y los ataques de fuerza bruta. El principio de la fuerza bruta consiste en probar miles de combinaciones de contraseñas hasta encontrar la que desbloqueará el acceso a un sistema. Este tipo de ataque es especialmente eficaz contra las PYME, que suelen estar peor protegidas que las grandes empresas.

Los ataques llevados a cabo por CosmicBeetle a menudo utilizan fallos de seguridad bien conocidos, en particular vulnerabilidades como CVE-2023-27532 , una vulnerabilidad en un componente de copia de seguridad y replicación de Veeam que también es explotada por EstateRansomware (para más detalles, consulte nuestro artículo dedicado). Aunque estas vulnerabilidades ya han sido corregidas mediante actualizaciones, siguen siendo una puerta abierta para los piratas informáticos si no son parcheadas por las empresas afectadas. CosmicBeetle se dirige específicamente a las PYME que no mantienen un proceso riguroso de gestión de parches.

Según ESET se aprovechan las siguientes vulnerabilidades:

  • CVE-2017-0144 (alias EternalBlue),
  • CVE-2023-27532 (una vulnerabilidad en un componente de Veeam Backup & Replication),
  • CVE-2021-42278 y CVE-2021-42287 (vulnerabilidades de escalada de privilegios de AD) a través de noPac,
  • CVE-2022-42475 (una vulnerabilidad en FortiOS SSL-VPN), y
  • CVE-2020-1472 (también conocido como Zerologon).

Las empresas que caen víctimas de ScRansom se enfrentan a un dilema: pagar el rescate o arriesgarse a perder sus datos para siempre. Sin embargo, incluso en los casos en los que se paga el rescate, el proceso de descifrado dista mucho de ser fiable. ESET informa de que la clave proporcionada por los hackers funciona mal en algunos casos, lo que provoca la pérdida permanente de los datos. El descifrado, cuando es posible, suele ser largo y complejo, otro factor que desalienta el pago.

Varios sectores en el punto de mira

Los sectores afectados por ScRansom son variados. Los investigadores han identificado víctimas en la industria manufacturera, la educación, la sanidad, los servicios financieros, la tecnología, la hostelería e incluso la administración local. En Francia, algunas PYME han sido blanco directo de los ciberataques, que han afectado a empresas de diversos tamaños. El malware no hace distinciones: cualquier organización que descuide su ciberseguridad es una presa potencial.

Carte thermique des attaques de CosmicBeetle
Mapa de calor de los ataques de CosmicBeetle desde agosto de 2023, según los datos de telemetría de ESET – Fuente ESET

CosmicBeetle y RansomHub: una alianza estratégica

El vínculo entre CosmicBeetle y RansomHub marca un paso importante en su estrategia. RansomHub, una red de ransomware como servicio (RaaS), permite a otros ciberdelincuentes «alquilar» ransomware para llevar a cabo sus propios ataques. CosmicBeetle pudo aprovechar los recursos de RansomHub, como el asesino EDR, para intensificar sus ataques. Para saber más sobre el concepto de EDR killer, lee nuestro artículo sobre RansomHub.

«Que sepamos, no hay filtraciones públicas del código de RansomHub ni de su diseñador (aunque es probable que el propio RansomHub se base en código comprado a Knight, otra banda de ransomware). Como resultado, estamos moderadamente seguros de que CosmicBeetle se ha registrado como un nuevo afiliado de RansomHub«, reza el estudio de ESET.

ScRansom: cifrado complejo y recuperación incierta

El ransomware ScRansom de CosmicBeetle utiliza un complejo esquema de cifrado, al tiempo que adolece de cierta inmadurez en su desarrollo que a menudo provoca pérdidas irreversibles de datos.

El proceso genera una clave AES-CTR-128 (ProtectionKey) y un par de claves RSA-1024 (RunKeyPair) para cada sesión de cifrado. A continuación, un archivo contiene diversa información cifrada, incluida la clave de cifrado del archivo (FileKey) y detalles de los bloques cifrados.

ScRansom utiliza el cifrado parcial: sólo se cifran determinadas partes del archivo. El método de cifrado admite varios modos de cifrado (FAST, FASTEST, SLOW, FULL y ERASE), siendo el más peligroso ERASE, que sustituye partes de los archivos por valores constantes, haciéndolos irrecuperables. Incluso cuando se paga el rescate, el proceso de descifrado suele ser caótico: cada ID de descifrado requiere una ProtectionKey distinta, lo que complica la recuperación total de los datos.

Schéma de chiffrement de ScRansom
Esquema de cifrado utilizado por las últimas muestras de ScRansom – Fuente ESET

El modo ERASE supone un riesgo particular, ya que hace imposible la recuperación de los datos, incluso si se paga el rescate. Una víctima tuvo que gestionar 31 ID de descifrado diferentes, que requerían otras tantas claves de protección. A pesar de ello, no se pudieron restaurar todos los archivos, lo que pone de manifiesto la ineficacia y el amateurismo de ScRansom.

«Este enfoque de descifrado es típico de un actor de amenazas de ransomware inmaduro.Las bandas experimentadas prefieren que su proceso de descifrado sea lo más simple posible para aumentar las posibilidades de un descifrado correcto, lo que mejora su reputación y aumenta la probabilidad de que las víctimas paguen. Por lo general (como en el caso de la filtración del constructor de LockBit Black), un descifrador se construye al mismo tiempo que un cifrador. Cuando se distribuye a la víctima, no se requiere ningún esfuerzo adicional por parte del usuario, ya que la clave ya está contenida en el binario. Es más, una sola clave es suficiente para descifrar todos los archivos cifrados, independientemente de dónde se encuentren en la red de la víctima», escribe Jakub Souček en su análisis.

Te recomendamos que eches un vistazo al estudio de los investigadores de ESET para conocer más detalles técnicos.

En el último episodio del podcast ESET Research, publicado el 24 de octubre de 2024, el investigador senior de malware Jakub Souček analiza en detalle las herramientas y tácticas de CosmicBeetle. No te pierdas este debate (en inglés) sobre sus métodos poco ortodoxos pero formidables.

https://open.spotify.com/episode/34MpV9g71XFunrXAMtwI4a?si=e2a87e9237634183

¿Cómo protegerse contra ScRansom?

Ante la amenaza de ScRansom, es esencial que las empresas, especialmente las PYMES, adopten una estrategia de ciberseguridad proactiva. Esto incluye:

  • Actualizar el software con regularidad: aplicar inmediatamente los parches de seguridad proporcionados por los editores para evitar que se exploten las vulnerabilidades.
  • Reforzar las contraseñas: optar por contraseñas complejas y activar la autenticación de dos factores (2FA).
  • Haga copias de seguridad delos datos: como mínimo, adopte la regla 3-2-1 para las copias de seguridad (3 copias de sus datos, en 2 soportes diferentes, y 1 copia fuera del sitio).
  • Sensibilizar a los empleados: una formación periódica sobre buenas prácticas de ciberseguridad puede marcar la diferencia.

Le aconsejamos encarecidamente que lea los consejos de la campaña de concienciación sobre ciberataques ImpactCyber, lanzada a principios de octubre para las PYME y las VSE.

Fuente: CosmicBeetle da un paso adelante: periodo de prueba en RansomHub (ESET)

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Copyright © 2025 Recoveo | Réalisation par Tell It