Des chercheurs d’ESET ont répertorié les activités récentes du groupe de menace CosmicBeetle. Ils ont documenté le déploiement de ScRansom, un nouveau rançongiciel, et découvert des connexions avec d’autres gangs de rançongiciel bien établis. CosmicBeetle propage des rançongiciels auprès de PME, principalement en Europe et en Asie.
Dans son rapport, ESET Research a constaté que l’acteur malveillant utilisait le générateur LockBit fuité et essayait de tirer parti de la réputation de LockBit. Les chercheurs pensent aussi qu’en plus de LockBit, CosmicBeetle est probablement un nouveau membre de RansomHub ransomware-as-a-service, un nouveau gang de rançongiciel actif depuis mars 2024 et en pleine croissance.
La méthode
CosmicBeetle utilise souvent des méthodes de force brute pour pénétrer dans ses cibles. Il exploite aussi, de manière abusive, diverses vulnérabilités connues. Au niveau mondial, des PME dans tous les secteurs d’activité sont les victimes les plus courantes de cet acteur malveillant, car c’est le segment le plus susceptible d’utiliser le logiciel concerné ou de ne pas disposer de processus de gestion de correctifs robustes.
« En raison des obstacles posés par l’écriture – à partir de zéro – de rançongiciels personnalisés, CosmicBeetle veut probablement profiter de la réputation de LockBit, probablement pour masquer les problèmes du rançongiciels sous-jacent et augmenter ses chances de faire payer les victimes », explique Jakub Souček, le chercheur qui a analysé la dernière activité de CosmicBeetle.
« Récemment nous avons aussi observé le déploiement des charges utiles ScRansom et RansomHub sur la même machine à seulement une semaine d’intervalle. Cette utilisation de RansomHub était très inhabituelle comparée aux cas typiques observés dans la télémétrie ESET, mais assez similaire au mode de travail de CosmicBeetle. Comme il n’y a pas eu de fuites publiques de RansomHub, cela nous a fait penser, avec une certaine confiance, que CosmicBeetle pourrait être un de leurs récents affiliés », a ajouté Souček.
Des attaques de PME ont été observées dans les secteurs suivants : fabrication, produits pharmaceutiques, droit, éducation, santé, technologie, hôtellerie, loisirs, services financiers et gouvernements régionaux.
ScRansom évolue constamment
En plus du chiffrement, ScRansom peut également tuer divers processus et services sur la machine infectée. L’entreprise de sécurité a réussi à obtenir un décrypteur utilisé par CosmicBeetle pour son récent schéma de chiffrement. ScRansom évolue constamment, ce qui n’est jamais un bon signe pour des rançongiciels. La complexité excessive du processus de chiffrement (et de décryptage) est sujette à des erreurs et cela rend la restauration de tous les fichiers douteux. Un décryptage réussi repose sur le bon fonctionnement du décrypteur et sur la fourniture, par CosmicBeetle, de toutes les clés nécessaires. Mais même dans ce cas, certains fichiers peuvent être définitivement détruits par l’acteur malveillant. Et dans le meilleur des cas, le décryptage est fort long et compliqué.
CosmicBeetle, actif depuis au moins 2020, est le nom que les chercheurs d’ESET ont donné à un acteur de menace découvert en 2023. Ce dernier est surtout connu pour l’utilisation de sa collection personnalisée d’outils Delphi, généralement appelée Spacecolon et composée de ScHackTool, ScInstaller, ScService et ScPatcher.
