In ihren Erpresserbriefen und Webseiten versucht CosmicBeetle, die Reputation der bekannten, mittlerweile inaktiven LockBit-Gruppe auszunutzen, um Opfer zur Zahlung zu bringen. Darüber hinaus ist die Gruppe nun Teil des Ransomware-Dienstleisters RansomwareHub, der seit März 2024 aktiv ist und nun verstärkt in Erscheinung tritt.
“Eine eigene Ransomware zu schreiben, stellt auch Hackergruppen vor Herausforderungen – vor allem, wenn es sich um eine darin eher unerfahrene Gruppe wie CosmicBeetle handelt”, erklärt ESET Forscher Jakub Soucek. “Deshalb versuchte die Gruppe, die gute Reputation von Lockbit auszunutzen, um die Erfolgswahrscheinlichkeit für eigene Angriffe zu erhöhen.”
CosmicBeetle verwendet häufig Brute-Force-Angriffe, um in die Systeme seiner Opfer einzudringen. Außerdem missbraucht die Gruppe verschiedene bekannte Schwachstellen. Der Grund dafür: Hier ist die Wahrscheinlichkeit am größten, dass die Zielunternehmen Software mit den entsprechenden Sicherheitslücken verwenden. Außerdem besitzen Organisationen dieser Größe selten ein robustes Patch-Management. Zu den betroffenen Branchen gehören: Fertigung, Pharmazeutik, Recht, Bildung, Gesundheitswesen, Technologie, Gastgewerbe, Freizeit, Finanzdienstleistungen sowie regionale Behörden.
ScRansom kann nicht nur verschlüsseln, sondern auch verschiedene Prozesse und Dienste auf dem betroffenen Computer beenden. ScRansom ist allerdings keine sehr ausgefeilte Ransomware. Dennoch war CosmicBeetle mit ihr in der Lage, einige wichtige Unternehmen erfolgreich anzugreifen.
Von ScRansom betroffene Opfer sollten bedenken: Die fehleranfällige Entschlüsselungs-Software der Hacker kann mutmaßlich nicht alle verschlüsselten Daten wiederherstellen. Selbst im günstigsten Fall ist die Entschlüsselung langwierig und kompliziert. Das bedeutet: Selbst, wenn sich Organisationen zur Zahlung des Lösegelds entschließen und das Entschlüsselungs-Tool erhalten, gehen im schlimmsten Fall viele Dateien verloren. ScRansom wird ständig weiterentwickelt. Dies spricht für eine qualitativ mangelhafte Ransomware.
CosmicBeetle ist aktiv seit mindestens 2020. Entdeckt wurde die Gruppe 2023 und sie ist vor allem für die Verwendung ihrer eigens geschaffenen Delphi-Tools bekannt, die gemeinhin Spacecolon genannt werden. Diese bestehen aus ScHackTool, ScInstaller, ScService und ScPatcher.
IMOCAs bestehen aus vielen verschiedenen vernetzten Komponenten und benötigen eine effiziente Cyberabwehr.
Das Metaverse – vergessener Hype oder doch schon einsatzfähig? Wo die Industrie bereits auf Metaverse-Lösungen…
Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…
KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.
Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…
KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…