Los investigadores de ESET han descubierto que el grupo utiliza el ransomware ScRansom.
En sus notas de rescate y sitios web, CosmicBeetle intenta explotar la reputación del conocido grupo LockBit, ahora inactivo, para conseguir que las víctimas paguen. Además, el grupo ahora forma parte del proveedor de servicios de ransomware RansomwareHub, que ha estado activo desde marzo de 2024 y ahora es cada vez más visible.
«Escribir su propio ransomware también plantea desafíos para los grupos de hackers, especialmente cuando se trata de un grupo sin experiencia como CosmicBeetle», explica el investigador de ESET Jakub Soucek. «Por lo tanto, el grupo intentó explotar la buena reputación de Lockbit para aumentar la probabilidad de éxito de sus propios ataques».
Ataques de fuerza bruta
CosmicBeetle suele utilizar ataques de fuerza bruta para entrar en los sistemas de sus víctimas. El grupo también abusa de varias vulnerabilidades conocidas. La razón: aquí es donde es mayor la probabilidad de que las empresas objetivo utilicen software con las correspondientes vulnerabilidades de seguridad. Además, las organizaciones de este tamaño rara vez cuentan con una gestión sólida de parches. Las industrias afectadas incluyen: manufactura, farmacéutica, legal, educación, atención médica, tecnología, hotelería, ocio, servicios financieros y gobierno regional.
ScRansom cifra y finaliza procesos
ScRansom no sólo puede cifrar sino también finalizar varios procesos y servicios en la computadora afectada. Sin embargo, ScRansom no es un ransomware muy sofisticado. Sin embargo, con él, CosmicBeetle pudo atacar con éxito a algunas empresas importantes.
Las víctimas afectadas por ScRansom deben tener esto en cuenta: el software de descifrado propenso a errores de los piratas informáticos probablemente no pueda recuperar todos los datos cifrados. Incluso en el mejor de los casos, el descifrado es largo y complicado. Esto significa que incluso si las organizaciones deciden pagar el rescate y recibir la herramienta de descifrado, en el peor de los casos, se perderán muchos archivos. ScRansom se desarrolla constantemente. Esto indica ransomware de mala calidad.
CosmicBeetle usa Spacecolon
CosmicBeetle ha estado activo desde al menos 2020. El grupo fue descubierto en 2023 y es mejor conocido por el uso de sus herramientas Delphi creadas a medida, comúnmente llamadas Spacecolon. Estos consisten en ScHackTool, ScInstaller, ScService y ScPatcher. NetMedia Internacional. Alemania. RS. Traducido al español
