Informacijos saugumo lyderė ESET aptiko naują išpirkos reikalaujančią programinę įrangą „ScRansom“, kurią kibernetinių nusikaltėlių grupuotė „CosmicBeetle“ išplatino mažoms ir vidutinėms įmonėms daugiausia Europoje ir Azijoje. Tikėtina, kad „CosmicBeetle“ taip pat priklauso naujai išpirkos reikalaujančių programų grupei „RansomHub“, veikiančiai nuo 2024 m. kovo mėn. ir siūlančiai išpirkos reikalaujančias programas kaip paslaugą.
CosmicBeetle savo taikiniams atakuoti dažnai naudoja slaptažodžių gavybą. Be to, kibernetiniai nusikaltėliai naudojasi įvairiais žinomais pažeidžiamumais. Dažniausios šios grėsmės aukos yra įvairių pasaulio pramonės šakų SVV įmonės, nes šiame segmente dažniau naudojama programinė įranga, kuri nėra atnaujinta arba neturi patikimo pataisymų valdymo. Konkrečiai ESET tyrėjai nustatė atakas prieš šių pramonės šakų įmones: gamybos, farmacijos, teisinio sektoriaus, švietimo, sveikatos priežiūros, technologijų, svetingumo pramonės, finansinių paslaugų ir regioninės valdžios įstaigų.
Be šifravimo, „ScRansom“ taip pat gali nutraukti įvairius procesus ir paslaugas užkrėstame kompiuteryje. ScRansom yra gana nesudėtinga išpirkos reikalaujanti programinė įranga.
ESET tyrėjams pavyko gauti „CosmicBeetle“ naujausioje šifravimo schemoje įdiegtą dešifratorių. Itin sudėtingas šifravimo ir dešifravimo procesas gali sukelti klaidų, todėl visų failų atkūrimas gali būti abejotinas. Sėkmingas dešifravimas priklauso nuo to, ar dešifratorius veikia tinkamai ir ar „CosmicBeetle“ pateikia visus reikiamus raktus. Tačiau net ir tada užpuolikas gali visam laikui ištrinti kai kuriuos failus. Net geriausiu atveju iššifravimas yra ilgas ir sudėtingas procesas.
Verta paminėti, kad „CosmicBeetle“ aktyviai veikia mažiausiai nuo 2020 m. Ši grėsmė geriausiai žinoma dėl to, kad naudoja specialų „Delphi“ įrankių rinkinį, žinomą kaip „Spacecolon“, kurį sudaro „ScHackTool“, „ScInstaller“, „ScService“ ir „ScPatcher“.