Investigadores de ESET han rastreado las actividades recientes del actor de amenazas conocido como CosmicBeetle, documentando su nuevo ransomware denominado ScRansom y estableciendo conexiones con otros grupos de ransomware bien establecidos. Este grupo ha estado activamente desplegando ScRansom a pequeñas y medianas empresas (SMBs) en diversas partes del mundo. Aunque su operación no destaca por su sofisticación, CosmicBeetle ha logrado comprometer objetivos interesantes.
CosmicBeetle reemplazó su ransomware anterior, Scarab, con ScRansom, que sigue siendo mejorado de forma continua. En sus tácticas, se ha observado que el actor de amenazas utiliza el constructor de LockBit que se filtró, intentando beneficiarse de la reputación de este infame grupo de ransomware al impersonarlo tanto en las notas de rescate como en su sitio de filtraciones. Además, se sospecha que CosmicBeetle podría ser un nuevo afiliado de RansomHub, un grupo de ransomware como servicio que ha estado activo desde marzo de 2024 y que ha mostrado una actividad en rápido aumento.
A través de un análisis de las actividades de CosmicBeetle durante el último año, se ha proporcionado información sobre ScRansom, subrayando que es imposible restaurar algunos archivos cifrados. CosmicBeetle ha estado experimentando con el constructor de LockBit y ha intentado abusar de su marca. También explota vulnerabilidades de años de antigüedad para infiltrarse en SMBs de todo el mundo.
Desde su detección en 2020, CosmicBeetle ha utilizado un conjunto personalizado de herramientas Delphi, conocido como Spacecolon. Tras un análisis más profundo, los investigadores de ESET han vinculado ScRansom con esta colección de herramientas. La operativa del grupo ha mostrado una trayectoria de crecimiento y adaptación, pasando de ataques iniciales a un desarrollo continuo de sus capacidades.
Entre las tácticas utilizadas por CosmicBeetle se incluyen ataques de fuerza bruta y la explotación de vulnerabilidades específicas en software utilizado por diversas industrias, incluyendo manufactura, farmacéutica y servicios financieros. Se ha documentado que el grupo ha creado un sitio de filtraciones dedicado en la red Tor, denominado NONAME, que emula el sitio de filtraciones de LockBit.
A pesar de que CosmicBeetle ha logrado establecer cierta notoriedad mediante la amenaza del ransomware, su enfoque por lo general desorganizado y su falta de experiencia en el campo han resultado en dificultades notables para mantener un programa de ransom efectivo. Esto se evidencia en informes que indican que muchos de los archivos cifrados por ScRansom son irrecuperables, complicando aún más la situación para las víctimas que intentan recuperarlos tras el pago del rescate. Las complejidades inherentes al proceso de cifrado y descifrado de ScRansom, junto con la falta de provisión de claves completas por parte de CosmicBeetle, exacerban la crisis para quienes se ven afectados por este ataque cibernético.
Fuente: WeLiveSecurity by eSet.
