Spacja kradnie wrażliwe dane, rozprzestrzeniając oprogramowanie ransomware na całym świecie, w tym w Belgii — analiza ESET — komunikaty prasowe

● Spacecolon to niewielki zestaw narzędzi służących do rozprzestrzeniania wariantów oprogramowania Scarab Ransomware wśród ofiar na całym świecie. Badania ESET uważają, że jest on pochodzenia tureckiego.
● Operatorzy spacji, zwanej przez firmę ESET CosmicBeetle, nie mają jasnego celu, ale najwięcej wykryto w krajach europejskich, Turcji i Meksyku.
● Spacecolon może działać jako trojan z dostępem zdalnym i możliwością wydobywania poufnych informacji i/lub rozprzestrzeniania oprogramowania Scarab Ransomware.
● CosmicBeetle może potencjalnie zagrozić wrażliwym serwerom internetowym ZeroLogon lub tym z poświadczeniami RDP, które umożliwiają użycie brutalnej siły.
● Wygląda na to, że CosmicBeetle przygotowuje się do dystrybucji nowego oprogramowania ransomware o nazwie kodowej ESET ScRansom.

Bratysława, Praga — 22 sierpnia 2023 r. — Firma ESET Research publikuje analizę Spacecolon, zestawu narzędzi rozprzestrzeniającego wśród ofiar na całym świecie warianty oprogramowania ransomware Scarab. Prawdopodobnie infiltruje organizacje ofiar za pośrednictwem skompromitowanych operatorów. Różne wersje spacji zawierają kilka tureckich ciągów znaków. Dlatego ESET uważa, że ​​został napisany przez tureckojęzycznego programistę. Firmie ESET udało się już prześledzić początki Spacecolon do maja 2020 r., a ich kampanie nadal trwają. Naukowcy nazwali operatorów Spacecolon CosmicBeetle, aby reprezentować połączenie między „przestrzenią” a „chrząszczem”.

Incydenty ze spacjami zidentyfikowane za pomocą telemetrii ESET obejmują cały świat, ze zdecydowaną przewagą krajów Unii Europejskiej, takich jak Belgia, Hiszpania, Francja, Polska i Węgry. W innych miejscach firma ESET wykryła również wysoką penetrację w Turcji i Meksyku. Wygląda na to, że CosmicBeetle przygotowuje się do dystrybucji nowego oprogramowania ransomware – ScRansom. Po rozliczeniu, oprócz zainstalowania oprogramowania ransomware, Spacecolon udostępnia szeroką gamę narzędzi innych firm, które umożliwiają atakującym wyłączenie produktów zabezpieczających, wydobycie poufnych informacji i uzyskanie dodatkowego dostępu.

„Nie zaobserwowaliśmy żadnego wzorca u ofiar Spacecolon poza tym, że były one podatne na podstawowe metody dostępu stosowane przez CosmicBeetle. Nie znaleźliśmy również żadnego wzorca wśród docelowych obszarów zainteresowania lub rozmiaru. Jednak nie ograniczając się do (według typu i lokalizacji) )” – zaobserwowaliśmy spację w szpitalu, kurorcie w Tajlandii, firmie ubezpieczeniowej w Izraelu, organizacji samorządowej w Polsce, dostawcy rozrywki w Brazylii, firmie zajmującej się ochroną środowiska w Turcji i szkole w Meksyku – wyjaśnia Jacob Suchek, badacz w firmie ESET, który napisał analizę.

CosmicBeetle może potencjalnie zagrozić serwerom internetowym podatnym na lukę ZeroLogon lub tym, które posiadają dane uwierzytelniające RDP, na których może zastosować brutalną siłę. Ponadto Spacecolon zapewnia swoim operatorom dostęp do backdoora. CosmicBeetle nie podejmuje żadnych wysiłków, aby ukryć swoje złośliwe oprogramowanie i pozostawia wiele artefaktów w zaatakowanych systemach.

Po zhakowaniu serwera WWW CosmicBeetle publikuje narzędzie ScHackTool. Jest to główny składnik spacji używany przez CosmicBeetle. Opiera się w dużej mierze na interfejsie graficznym i aktywnym udziale operatorów. Dzięki temu mogą zorganizować atak według własnego uznania, pobierając i uruchamiając dodatkowe narzędzia na zaatakowanym urządzeniu. Jeśli cel zostanie uznany za przydatny, CosmicBeetle może wdrożyć ScInstaller i użyć go do zainstalowania ScService, który zapewnia dodatkowy dostęp zdalny.

Ostatni ładunek opublikowany przez CosmicBeetle to wariant oprogramowania Scarab Ransomware. To wewnętrznie rozprzestrzenia ClipBanker, rodzaj złośliwego oprogramowania, które monitoruje zawartość schowka i zmienia zawartość, którą uważa za adres portfela kryptowalut, na adres kontrolowany przez użytkownika.

Osobno opracowywana jest nowa rodzina oprogramowania ransomware, a próbki z Turcji przesyłane są do VirusTotal. Dział badań ESET jest przekonany, że został napisany przez tych samych programistów co Spacecolon i badacze nadali mu nazwę ScRansom. Ten ostatni próbuje zaszyfrować wszystkie dyski twarde, zarówno wymienne, jak i zdalne. Firma ESET nie wykryła tego ransomware nigdzie indziej i wygląda na to, że jest on wciąż w fazie rozwoju.

Więcej informacji technicznych na temat Spacecolon i CosmicBeetle można znaleźć na blogu „Scarabs Colonization of Vulnerable Servers” pod adresem www.welivesecurity.com Obserwuj także badania ESET na Twitterze Badania ESET na Twitterze, aby uzyskać najnowsze wiadomości z badań ESET.

O ESET-ie
Od ponad 30 lat firma ESET® opracowuje wiodące w branży oprogramowanie i usługi zabezpieczające IT, aby chronić firmy, infrastrukturę krytyczną i konsumentów na całym świecie przed najbardziej zaawansowanymi zagrożeniami cyfrowymi. Od zabezpieczeń punktów końcowych i urządzeń mobilnych po EDR, szyfrowanie i uwierzytelnianie dwuskładnikowe — lekkie i wydajne rozwiązania firmy ESET zapewniają całodobową ochronę i monitorowanie oraz aktualizują zabezpieczenia w czasie rzeczywistym, aby zapewnić nieprzerwane bezpieczeństwo użytkownikom i firmom. Ewoluujące zagrożenia wymagają skalowalnego dostawcy bezpieczeństwa IT, który umożliwi bezpieczne korzystanie z technologii. Wspierają to centra badawczo-rozwojowe firmy ESET na całym świecie, które pracują na rzecz wspierania naszej wspólnej przyszłości. po więcej informacji odwiedź www.eset.com Lub śledź nas na LinkedIn, Facebooku i Instagramie https://www.eset.com/be-fr/