Aktor ancaman yang dikenal sebagai CosmicBeetle telah memperkenalkan jenis ransomware khusus baru yang disebut ScRansom dalam serangan yang menargetkan bisnis kecil dan menengah (UKM) di Eropa, Asia, Afrika, dan Amerika Selatan, sementara juga kemungkinan bekerja sebagai afiliasi untuk RansomHub.
“CosmicBeetle mengganti ransomware yang sebelumnya digunakan, Scarab, dengan ScRansom, yang terus ditingkatkan,” kata peneliti ESET Jakub Souček dalam analisis baru yang dipublikasikan hari ini. “Meskipun tidak canggih, pelaku ancaman ini mampu membahayakan target yang menarik.”
Target serangan ScRansom mencakup sektor manufaktur, farmasi, hukum, pendidikan, perawatan kesehatan, teknologi, perhotelan, rekreasi, layanan keuangan, dan pemerintahan daerah.
CosmicBeetle paling dikenal karena perangkat berbahaya bernama Spacecolon yang sebelumnya diidentifikasi digunakan untuk menyebarkan ransomware Scarab ke seluruh organisasi korban di seluruh dunia.
Dikenal juga sebagai NONAME, penyerang tersebut memiliki rekam jejak bereksperimen dengan pembuat LockBit yang bocor dalam upaya untuk menyamar sebagai geng ransomware terkenal dalam catatan tebusan dan situs kebocorannya sejak November 2023.
Saat ini belum jelas siapa yang berada di balik serangan tersebut atau dari mana mereka berasal, meskipun hipotesis sebelumnya menyiratkan bahwa mereka mungkin berasal dari Turki karena adanya skema enkripsi khusus yang digunakan dalam alat lain bernama ScHackTool. Namun, ESET menduga atribusi tersebut tidak lagi masuk akal.
“Skema enkripsi ScHackTool digunakan dalam Disk Monitor Gadget yang sah,” Souček menjelaskan. “Kemungkinan besar algoritma ini diadaptasi [from a Stack Overflow thread] oleh VOVSOFT [the Turkish software firm behind the tool] dan, bertahun-tahun kemudian, CosmicBeetle menemukannya dan menggunakannya untuk ScHackTool.”
Rangkaian serangan telah diamati memanfaatkan serangan brute-force dan kelemahan keamanan yang diketahui (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475, dan CVE-2023-27532) untuk menyusup ke lingkungan target.
Intrusi tersebut selanjutnya melibatkan penggunaan berbagai alat seperti Reaper, Darkside, dan RealBlindingEDR untuk menghentikan proses terkait keamanan guna menghindari deteksi sebelum menyebarkan ransomware ScRansom berbasis Delphi, yang disertai dengan dukungan enkripsi parsial untuk mempercepat proses dan mode “ERASE” untuk membuat file tidak dapat dipulihkan dengan menimpanya dengan nilai konstan.
Hubungan dengan RansomHub bermula dari fakta bahwa perusahaan keamanan siber Slowakia menemukan penyebaran muatan ScRansom dan RansomHub pada mesin yang sama dalam kurun waktu seminggu.
“Mungkin karena kendala yang muncul saat menulis ransomware khusus dari awal, CosmicBeetle berupaya mengambil reputasi LockBit, mungkin untuk menutupi masalah pada ransomware yang mendasarinya dan pada gilirannya meningkatkan kemungkinan korban akan membayar,” kata Souček.
Cicada3301 Meluncurkan Versi Terbaru
Pengungkapan tersebut terjadi setelah pelaku ancaman yang terkait dengan ransomware Cicada3301 (alias Repellent Scorpius) terlihat menggunakan versi enkripsi terbaru sejak Juli 2024.
“Pembuat ancaman menambahkan argumen baris perintah baru, –no-note,” kata Palo Alto Networks Unit 42 dalam sebuah laporan yang dibagikan dengan The Hacker News. “Saat argumen ini digunakan, enkripsi tidak akan menuliskan catatan tebusan ke sistem.”
Modifikasi penting lainnya adalah tidak adanya nama pengguna atau kata sandi yang dikodekan secara keras dalam biner, meskipun masih mempertahankan kemampuan untuk mengeksekusi PsExec menggunakan kredensial ini jika ada, sebuah teknik yang disorot baru-baru ini oleh Morphisec.
Dalam perkembangan yang menarik, vendor keamanan siber tersebut mengatakan pihaknya mengamati tanda-tanda bahwa kelompok tersebut memiliki data yang diperoleh dari insiden kompromi lama yang terjadi sebelum kelompok tersebut beroperasi di bawah merek Cicada3301.
Hal ini meningkatkan kemungkinan bahwa pelaku ancaman mungkin telah beroperasi dengan merek ransomware yang berbeda, atau membeli data dari kelompok ransomware lain. Meski demikian, Unit 42 mencatat bahwa mereka mengidentifikasi beberapa tumpang tindih dengan serangan lain yang dilakukan oleh afiliasi yang menyebarkan ransomware BlackCat pada Maret 2022.
BURNTCIGAR Menjadi Penghapus EDR
Temuan tersebut juga mengikuti evolusi driver Windows bertanda tangan mode kernel yang digunakan oleh beberapa geng ransomware untuk menonaktifkan perangkat lunak Deteksi dan Respons Titik Akhir (EDR) yang memungkinkannya bertindak sebagai penghapus untuk menghapus komponen penting yang terkait dengan solusi tersebut, alih-alih menghentikannya.
Malware yang dimaksud adalah POORTRY, yang dikirimkan melalui loader bernama STONESTOP untuk mengatur serangan Bring Your Own Vulnerable Driver (BYOVD), yang secara efektif melewati perlindungan Driver Signature Enforcement. Kemampuannya untuk “memaksa penghapusan” file pada disk pertama kali dicatat oleh Trend Micro pada bulan Mei 2023.
POORTRY, terdeteksi sejak tahun 2021, juga disebut sebagai BURNTCIGAR, dan telah digunakan oleh banyak geng ransomware, termasuk CUBA, BlackCat, Medusa, LockBit, dan RansomHub selama bertahun-tahun.
“Baik file yang dapat dieksekusi Stonestop maupun driver Poortry dikemas dan dikaburkan secara besar-besaran,” kata Sophos dalam laporan terbarunya. “Loader ini dikaburkan oleh packer sumber tertutup bernama ASMGuard, yang tersedia di GitHub.”
POORTRY “berfokus pada penonaktifan produk EDR melalui serangkaian teknik yang berbeda, seperti penghapusan atau modifikasi rutin pemberitahuan kernel. Pembunuh EDR bertujuan untuk menghentikan proses yang terkait dengan keamanan dan membuat agen EDR tidak berguna dengan menghapus file-file penting dari disk.”
Penggunaan versi POORTRY yang lebih baik oleh RansomHub patut diperhatikan mengingat kru ransomware tersebut juga terlihat menggunakan alat pembunuh EDR lain yang dijuluki EDRKillShifter tahun ini.
“Penting untuk menyadari bahwa pelaku kejahatan siber telah terus-menerus bereksperimen dengan berbagai metode untuk menonaktifkan produk EDR — sebuah tren yang telah kami amati setidaknya sejak tahun 2022,” kata Sophos kepada The Hacker News. “Eksperimen ini dapat melibatkan berbagai taktik, seperti mengeksploitasi driver yang rentan atau menggunakan sertifikat yang secara tidak sengaja bocor atau diperoleh melalui cara ilegal.”
“Meskipun tampaknya ada peningkatan signifikan dalam kegiatan-kegiatan ini, akan lebih tepat jika dikatakan bahwa ini merupakan bagian dari proses yang sedang berlangsung, bukan peningkatan yang tiba-tiba.”
“Penggunaan berbagai alat pembunuh EDR, seperti EDRKillShifter oleh kelompok seperti RansomHub, kemungkinan mencerminkan eksperimen yang sedang berlangsung ini. Ada kemungkinan juga bahwa berbagai afiliasi terlibat, yang dapat menjelaskan penggunaan berbagai metode, meskipun tanpa informasi spesifik, kami tidak ingin terlalu banyak berspekulasi tentang hal itu.”