CosmicBeetle: Hacker imitieren Schadsoftware

Eset_News

Beitrag teilen

Die Hacker der CosmicBeetle Gruppe greifen vor allem kleine und mittlere Unternehmen an. Sie imitieren in ihren Ransomware Erpresserschreiben die inaktive LockBit Gruppe. Außerdem hat sich CosmicBeetle dem neuen Ransomware-Dienstleister RansomwareHub angeschlossen.

Forscher des IT-Sicherheitsherstellers ESET haben neue Aktivitäten der CosmicBeetle-Gruppe entdeckt. Sie verbreitet Ransomware an kleine und mittlere Unternehmen (KMU), hauptsächlich in Europa und Asien. Dabei kommt ihre Ransomware ScRansom zum Einsatz. In ihren Erpresserbriefen und Webseiten versucht CosmicBeetle, die Reputation der bekannten, mittlerweile inaktiven LockBit-Gruppe auszunutzen, um Opfer zur Zahlung zu bringen. Darüber hinaus ist die Gruppe nun Teil des Ransomware-Dienstleisters RansomwareHub, der seit März 2024 aktiv ist und nun verstärkt in Erscheinung tritt.

Anzeige

„Eine eigene Ransomware zu schreiben, stellt auch Hackergruppen vor Herausforderungen – vor allem, wenn es sich um eine darin eher unerfahrene Gruppe wie CosmicBeetle handelt“, erklärt ESET Forscher Jakub Souček. „Deshalb versuchte die Gruppe, die gute Reputation von Lockbit auszunutzen, um die Erfolgswahrscheinlichkeit für eigene Angriffe zu erhöhen.“

So kommen die CosmicBeetle Hacker ins Netzwerk

CosmicBeetle verwendet häufig Brute-Force-Angriffe, um in die Systeme seiner Opfer einzudringen. Außerdem missbraucht die Gruppe verschiedene bekannte Schwachstellen. Der Grund dafür: Hier ist die Wahrscheinlichkeit am größten, dass die Zielunternehmen Software mit den entsprechenden Sicherheitslücken verwenden. Außerdem besitzen Organisationen dieser Größe selten ein robustes Patch-Management. Zu den betroffenen Branchen gehören: Fertigung, Pharmazeutik, Recht, Bildung, Gesundheitswesen, Technologie, Gastgewerbe, Freizeit, Finanzdienstleistungen sowie regionale Behörden.

Das kann die Ransomware der Gruppe

ScRansom kann nicht nur verschlüsseln, sondern auch verschiedene Prozesse und Dienste auf dem betroffenen Computer beenden. ScRansom ist allerdings keine sehr ausgefeilte Ransomware. Dennoch war CosmicBeetle mit ihr in der Lage, einige wichtige Unternehmen erfolgreich anzugreifen. Von ScRansom betroffene Opfer sollten bedenken: Die fehleranfällige Entschlüsselungs-Software der Hacker kann mutmaßlich nicht alle verschlüsselten Daten wiederherstellen. Selbst im günstigsten Fall ist die Entschlüsselung langwierig und kompliziert. Das bedeutet: Selbst, wenn sich Organisationen zur Zahlung des Lösegelds entschließen und das Entschlüsselungs-Tool erhalten, gehen im schlimmsten Fall viele Dateien verloren. ScRansom wird ständig weiterentwickelt. Dies spricht für eine qualitativ mangelhafte Ransomware.

CosmicBeetle ist aktiv seit mindestens 2020. Entdeckt wurde die Gruppe 2023 und sie ist vor allem für die Verwendung ihrer eigens geschaffenen Delphi-Tools bekannt, die gemeinhin Spacecolon genannt werden. Diese bestehen aus ScHackTool, ScInstaller, ScService und ScPatcher.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


Passende Artikel zum Thema

CeranaKeeper – Neue APT-Gruppe entdeckt

Forscher haben eine neue Advanced Persistent Threat (APT)-Gruppe namens CeranaKeeper entdeckt.  Sie attackiert gezielt staatliche Institutionen in Thailand. Mithilfe bekannter ➡ Weiterlesen

Globale DDoS-Angriffe auf kritische Infrastrukturen

Im ersten Halbjahr 2024 haben DDoS-Angriffe vor allem in Europa und dem Nahen Osten zugenommen, so das Ergebnis einer Studie. ➡ Weiterlesen

ICS-Computer von Ransomware bedroht

Die Industrie ist weiterhin ein beliebtes Ziel von Cyberkriminellen und vor allem ICS-Computer sind dadurch bedroht, wie die aktuelle Analyse ➡ Weiterlesen

Edge-Anwendungen cloudbasiert überwachen

Edge-Anwendungen nehmen deutlich zu. Eine sichere und über das Internet zugängliche Überwachungslösung mit benutzerfreundlicher Oberfläche kann die Betriebstransparenz verbessern und ➡ Weiterlesen

CosmicBeetle: Hacker imitieren Schadsoftware

Die Hacker der CosmicBeetle Gruppe greifen vor allem kleine und mittlere Unternehmen an. Sie imitieren in ihren Ransomware Erpresserschreiben die ➡ Weiterlesen

Angriffe via Microsoft Teams – von Black Basta? 

Die Experten von ReliaQuest haben einen breiteren Trend entdeckt: eine Kampagne mit eskalierten Social-Engineering-Taktiken in Microsoft Teams, die ursprünglich mit ➡ Weiterlesen

Microsoft SharePoint Schwachstelle erlaubt Remotecode

Die oberste amerikanische Cyberschutzbehörde CISA hat ihren Katalog bekannter ausgenutzter Schwachstellen um eine neue Schwachstelle ergänzt: Microsoft SharePoint lässt die ➡ Weiterlesen

Datensicherheit durch KI bedroht

Weltweit sind Verbraucher  besorgt über die Menge an Daten, die Unternehmen über sie sammeln, den Umgang damit und sehen auch ➡ Weiterlesen