{"id":21134,"date":"2024-09-24T21:36:23","date_gmt":"2024-09-25T00:36:23","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21134"},"modified":"2024-09-24T21:40:52","modified_gmt":"2024-09-25T00:40:52","slug":"cosmicbeetle-implanta-ransomware-scransom-e-parceria-com-ransomhub","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/09\/exploits\/cosmicbeetle-implanta-ransomware-scransom-e-parceria-com-ransomhub\/","title":{"rendered":"CosmicBeetle implanta ransomware ScRansom e parceria com RansomHub"},"content":{"rendered":"\n
\n
\n
\n
CosmicBeetle implanta ransomware personalizado ScRansom em parceria com RansomHub.<\/strong><\/div>\n
\u00a0<\/div>\n
O grupo de cibercriminosos conhecido como CosmicBeetle introduziu uma nova variante personalizada de ransomware chamada ScRansom, que tem como alvo pequenas e m\u00e9dias empresas (PMEs) em regi\u00f5es como Europa, \u00c1sia, \u00c1frica e Am\u00e9rica do Sul. Al\u00e9m disso, h\u00e1 ind\u00edcios de que o grupo esteja atuando como afiliado do coletivo de ransomware RansomHub.<\/span><\/div>\n<\/div>\n<\/div>\n
\n

\u00a0<\/p>\n

Evolu\u00e7\u00e3o do ScRansom<\/strong><\/p>\n

O ScRansom substitui o Scarab, ransomware previamente usado pelo CosmicBeetle. Segundo an\u00e1lise publicada por Jakub Sou\u010dek, pesquisador da ESET, o ScRansom est\u00e1 em constante evolu\u00e7\u00e3o, embora ainda n\u00e3o seja uma das ferramentas mais sofisticadas no cen\u00e1rio cibern\u00e9tico. No entanto, ele tem sido eficaz em comprometer alvos estrat\u00e9gicos em diversos setores, como manufatura, sa\u00fade, educa\u00e7\u00e3o, servi\u00e7os financeiros, e at\u00e9 mesmo governos regionais.<\/p>\n

\u00a0<\/p>\n

Ferramentas e t\u00e9cnicas de ataque<\/strong><\/p>\n

O CosmicBeetle \u00e9 amplamente conhecido por utilizar um conjunto de ferramentas maliciosas, sendo o mais not\u00e1vel o Spacecolon, que anteriormente distribuiu o ransomware Scarab globalmente. O grupo tem um hist\u00f3rico de experimenta\u00e7\u00e3o com o construtor vazado do LockBit, buscando se passar por essa gangue famosa, tanto nas notas de resgate quanto nos sites de vazamento.<\/p>\n

\u00a0<\/p>\n

Os ataques com o ScRansom exploram uma combina\u00e7\u00e3o de t\u00e9cnicas de for\u00e7a bruta e vulnerabilidades conhecidas, como as falhas CVE-2017-0144,\u00a0CVE-2020-1472,\u00a0CVE-2021-42278,\u00a0CVE-2021-42287,\u00a0CVE-2022-42475 e CVE-2023-27532, para invadir os ambientes das v\u00edtimas. O grupo tamb\u00e9m emprega ferramentas como Reaper e Darkside para desativar os processos de seguran\u00e7a, permitindo que o ransomware seja implantado sem detec\u00e7\u00e3o. O ScRansom tamb\u00e9m suporta criptografia parcial para agilizar o processo e inclui um modo \u201cERASE\u201d, que sobrescreve os arquivos com valores constantes, tornando-os irrecuper\u00e1veis.<\/p>\n

\u00a0<\/p>\n<\/div>\n

\"ScRansom<\/p>\n

\n

\u00a0<\/p>\n

Parceria com RansomHub<\/strong><\/p>\n

A conex\u00e3o entre CosmicBeetle e RansomHub foi descoberta quando a empresa de ciberseguran\u00e7a ESET identificou a presen\u00e7a de cargas maliciosas do ScRansom e do RansomHub na mesma m\u00e1quina em um curto espa\u00e7o de tempo. Segundo Sou\u010dek, o CosmicBeetle provavelmente busca se aproveitar da reputa\u00e7\u00e3o do LockBit e do RansomHub para aumentar as chances de pagamento dos resgates.<\/p>\n

\u00a0<\/p>\n

Amea\u00e7as emergentes e outras evolu\u00e7\u00f5es<\/strong><\/p>\n

Al\u00e9m do ScRansom, outros grupos de cibercriminosos continuam a evoluir suas ferramentas. O grupo Cicada3301 atualizou seu ransomware, introduzindo novos comandos que dificultam a detec\u00e7\u00e3o. Tamb\u00e9m foi observada a evolu\u00e7\u00e3o de malwares como POORTRY (tamb\u00e9m conhecido como BURNTCIGAR), que desativa ferramentas de detec\u00e7\u00e3o e resposta de endpoints (EDR), permitindo que cibercriminosos eliminem arquivos cr\u00edticos e ocultem suas atividades.<\/p>\n

\u00a0<\/p>\n

Essas ferramentas, muitas vezes entregues por meio de loaders como o STONESTOP, aproveitam vulnerabilidades e certificados de assinatura de c\u00f3digo roubados ou mal utilizados, permitindo a execu\u00e7\u00e3o de drivers maliciosos sem serem detectados. Al\u00e9m disso, grupos como o RansomHub t\u00eam incorporado m\u00faltiplas ferramentas para desativar solu\u00e7\u00f5es EDR, incluindo o uso de programas leg\u00edtimos como o TDSSKiller, da Kaspersky, para realizar ataques mais eficazes.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

O surgimento de novas variantes de ransomware, como o ScRansom, e a colabora\u00e7\u00e3o entre diferentes grupos criminosos mostram uma tend\u00eancia crescente de sofistica\u00e7\u00e3o nos ataques cibern\u00e9ticos. O uso de m\u00faltiplas t\u00e9cnicas para desabilitar ferramentas de defesa digital exige que as empresas fortale\u00e7am suas defesas, mantenham seus sistemas atualizados e adotem uma postura proativa de ciberseguran\u00e7a.<\/p>\n

\u00a0<\/p>\n

Essas amea\u00e7as em constante evolu\u00e7\u00e3o s\u00e3o um lembrete de que o cen\u00e1rio de ransomware est\u00e1 em cont\u00ednua transforma\u00e7\u00e3o, com grupos como o CosmicBeetle explorando novas maneiras de penetrar em sistemas e for\u00e7ar o pagamento de resgates, muitas vezes de forma irrevers\u00edvel.<\/p>\n

\u00a0<\/p>\n<\/div>\n<\/div>\n

Fonte: https:\/\/thehackernews.com\/2024\/09\/cosmicbeetle-deploys-custom-scransom.html<\/a><\/p>\n

\n
\n
\u00a0<\/div>\n
\u00a0<\/div>\n<\/div>\n<\/div>\n\n\n","protected":false},"excerpt":{"rendered":"

CosmicBeetle implanta ransomware personalizado ScRansom em parceria com RansomHub. \u00a0 O grupo de cibercriminosos conhecido como CosmicBeetle introduziu uma nova variante personalizada de ransomware chamada ScRansom, que tem como alvo pequenas e m\u00e9dias empresas (PMEs) em regi\u00f5es como Europa, \u00c1sia, \u00c1frica e Am\u00e9rica do Sul. Al\u00e9m disso, h\u00e1 ind\u00edcios de que o grupo esteja atuando […]<\/p>\n","protected":false},"author":2,"featured_media":21139,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21134","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21134"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21134\/revisions"}],"predecessor-version":[{"id":21144,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21134\/revisions\/21144"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21139"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}