Grupul de ransomware NoName încearcă să-și construiască o reputație de peste trei ani, vizând întreprinderile mici și mijlocii din întreaga lume cu encryptorii săi și ar putea acum să lucreze ca afiliat RansomHub.
Grupul folosește instrumente personalizate cunoscute sub numele de familia de malware Spacecolon și le implementează după ce obțin acces la o rețea prin metode brute-force și exploatarea unor vulnerabilități mai vechi cum ar fi EternalBlue (CVE-2017-0144) sau ZeroLogon (CVE-2020-1472).
În atacurile mai recente, NoName folosește ransomware-ul ScRansom, care a înlocuit encryptorul Scarab. De asemenea, actorul de amenințare a încercat să-și facă un nume experimentând cu generatorul de ransomware LockBit 3.0, creând un site similar de scurgeri de date și folosind note de răscumpărare similare.
Compania de securitate cibernetică ESET urmărește grupul NoName sub numele de CosmicBeetle și își monitorizează activitățile încă din 2023, odată cu apariția ScRansom, un malware de criptare de fișiere bazat pe Delphi.
Într-un raport recent, cercetătorii remarcă faptul că, deși ScRansom (parte a familiei de malware Spacecolon) nu este la fel de sofisticat ca alte amenințări de pe scena ransomware-ului, este o amenințare care continuă să evolueze.
Malware-ul suportă o criptare parțială cu diferite moduri de viteză pentru a permite atacatorilor o anumită versatilitate și include și un mod „ERASE” care înlocuiește conținutul fișierelor cu o valoare constantă, făcându-le irecuperabile.
ScRansom poate cripta fișiere pe toate unitățile, inclusiv cele fixe, la distanță și media detașabilă și permite operatorului să determine ce extensii de fișiere să vizeze printr-o listă personalizabilă.
Înainte de lansarea encryptorului, ScRansom oprește o listă de procese și servicii pe gazda Windows, inclusiv Windows Defender, Volume Shadow Copy, SVCHost, RDPclip, LSASS și procesele asociate cu uneltele VMware.
ESET observă că schema de criptare a lui ScRansom este destul de complicată, folosind o combinație de AES-CTR-128 și RSA-1024, și o cheie AES suplimentară generată pentru a proteja cheia publică.
Cu toate acestea, procesul cu mai multe etape care implică multiple schimburi de chei introduce uneori erori care pot duce la eșecul decriptării fișierelor chiar și atunci când se folosesc cheile corecte.
De asemenea, dacă ransomware-ul este executat a doua oară pe același dispozitiv sau într-o rețea de mai multe sisteme distincte, vor fi generate noi seturi de chei unice și ID-uri de victimă, făcând procesul de decriptare destul de complex.
Un caz pe care ESET îl evidențiază este al unei victime care a primit 31 de ID-uri de decriptare și chei de protecție AES după ce a plătit ScRansom și totuși nu a reușit să recupereze toate fișierele criptate.
NoName a folosit forța brută pentru a obține acces la rețele, dar actorul de amenințare exploatează și mai multe vulnerabilități care sunt mai probabil să fie prezente în medii SMB:
– CVE-2017-0144 (cunoscut și sub numele de EternalBlue),
– CVE-2023-27532 (o vulnerabilitate într-un component Veeam Backup & Replication)
– CVE-2021-42278 și CVE-2021-42287 (vulnerabilități de escaladare a privilegiilor AD) prin noPac
– CVE-2022-42475 (o vulnerabilitate în FortiOS SSL-VPN)
– CVE-2020-1472 (cunoscut și sub numele de Zerologon)
Un raport recent de la Pure7, o companie de securitate cibernetică din Turcia, menționează și faptul că CVE-2017-0290 a fost exploatat în atacurile NoName printr-un fișier batch (DEF1.bat) care face modificări în Registrul de Windows pentru a dezactiva funcțiile, serviciile sau sarcinile Windows Defender.
Ascensiunea lui NoName la statutul de afiliat RansomHub a fost precedată de o serie de mișcări care arată dedicarea grupului față de afacerile ransomware. Deoarece ScRansom nu era un nume stabilit pe scenă, grupul a decis să adopte o abordare diferită pentru a-și crește vizibilitatea.
În septembrie 2023, CosmicBeetle a înființat un site de extorcare pe dark web sub brandul ‘NONAME’, care era o copie modificată a site-ului de scurgeri de date LockBit (DLS) care includea de fapt victime compromis de LockBit, nu de ScRansom, au descoperit cercetătorii după verificarea pe mai multe servicii de urmărire a DLS-urilor.
În noiembrie 2023, actorul de amenințare și-a intensificat efortul de impersonare înregistrând domeniul lockbitblog[.]info și brandând DLS-ul cu tema și logo-ul LockBit.
Cercetătorii au descoperit și câteva atacuri recente în care a fost implementat un eșantion LockBit, dar nota de răscumpărare avea un ID de victimă pe care deja îl asociaseră cu CosmicBeetle. În plus, setul de instrumente din incident se suprapunea cu malware-ul atribuit actorului de amenințare CosmicBeetle/NoName.
În timp ce investigau un incident ransomware care a început la începutul lunii iunie cu o implementare eșuată a ScRansom, cercetătorii ESET au descoperit că actorul de amenințare a executat pe același dispozitiv mai puțin de o săptămână mai târziu EDR killer al RansomHub, un instrument care permite escaladarea privilegiilor și dezactivarea agenților de securitate prin implementarea unui driver vulnerabil legitim pe dispozitivele vizate.
Două zile mai târziu, pe 10 iunie, hackerii au executat ransomware-ul RansomHub pe dispozitivul compromis.
Cercetătorii notează metoda de extragere a EDR killer, care era tipică pentru CosmicBeetle și nu pentru un afiliat RansomHub.
Deoarece nu există scurgeri publice ale codului sau builder-ului RansomHub, cercetătorii ESET „cred cu o încredere medie că CosmicBeetle s-a înscris ca un nou afiliat RansomHub”.
Deși afilierea cu RansomHub nu este sigură, ESET afirmă că encryptorul ScRansom este în dezvoltare activă. Împreună cu trecerea de la ScRansom la LockBit, indică faptul că CosmicBeetle nu arată semne că ar renunța.
Planned Parenthood confirmă atacul cibernetic pe măsură ce RansomHub susține încălcarea
Halliburton confirmă datele furate în recentul atac cibernetic
FBI: RansomHub ransomware a încălcat 210 victime din februarie
Atacul cibernetic Halliburton legat de grupul de ransomware RansomHub
Patelco notifică 726.000 de clienți despre încălcarea datelor de ransomware
Leave a Reply