CosmicBeetle 变种勒索软件威胁升级
关键要点
CosmicBeetle 操作员利用 Spacecolon 工具集在全球传播 Scarab 勒索软件。Spacecolon 的起源可以追溯到 2020 年 5 月,并且仍在开发新版本。Satellite 攻击的目标包括医院、学校及各行业的机构,显示了更具机会主义的攻击模式。ESET 研究人员发现了一个新的勒索软件家族 ScRansom,怀疑与 Spacecolon 来自同一开发者。公开暴露的 RDP 系统是攻击的重点,企业应及时修补相关漏洞。CosmicBeetle 操作员近期被观察到利用 Spacecolon 工具集在全球范围内传播 Scarab 勒索软件。据 ESET 的 博客文章 所述,研究人员追踪到 Spacecolon 的起源至少可以追溯到 2020 年 5 月,并且不断发生新的攻击活动,最新版本是今年 5 月编译的。Scarab 勒索软件的首次出现则可以追溯到 2017 年 6 月。
海外npv加速器ESET 研究人员尚未找到攻击者的具体固定模式,但他们观察到 Spacecolon 的攻击目标包括:泰国的一所医院、一家旅游度假村、以色列的一家保险公司、波兰的一个地方政府机构、巴西的一家娱乐提供商、一家土耳其的环保公司,以及墨西哥的一所学校。
“勒索软件集团之前通常集中于特定区域或行业,利用地方性的弱点。” Dasera 首席执行官 Ani Chaudhuri 表示。 “CosmicBeetle 的广泛影响范围,从泰国医院到墨西哥学校,表明攻击模式的转变,许多组织现在都可能成为目标。考虑到这些攻击的随机性,什么时候会有美国公司成为受害者,不再是一个问题,而是一个必然。”
ESET 研究人员表示,Spacecolon “可能”通过攻击者利用易受攻击的 Web 服务器或暴力破解远程桌面协议RDP凭据的方式进入受害者的组织。多个 Spacecolon 的版本中包含土耳其字符串,因此 ESET 研究人员怀疑其背后有一名讲土耳其语的开发者。
ESET 的研究人员还观察到一个全新的勒索软件家族正在开发中,有样本被上传到 VirusTotal,并认为它与 Spacecolon 是同一开发者所写,因此称之为 ScRansom。
这一归因源于代码中的相似土耳其字符串、IPWorks 库的使用及整体 GUI 的相似之处。ScRansom 试图使用 AES128 算法加密所有硬盘、可移动驱动器和远程驱动器,密钥是从硬编码字符串中生成的。在撰写本文时,ESET 研究人员尚未观察到 ScRansom 在网络上被实际部署,他们认为它仍处于开发阶段。
“ScRansom 在开发阶段的发现展示了网络安全研究人员的前瞻性检测能力,”Dasera 的 Chaudhuri 说道。“然而,其出现也强调一个关键问题:威胁行为者在不断创新,而我们的防御也必须跟上。尽管有人可能会根据代码中的土耳其字符串迅速得出地缘政治结论,但在进行归因时,保持谨慎至关重要。网络雇佣兵、可雇用的开发者以及伪旗行动在此类事件中很常见。讲土耳其语的开发者并不一定意味着攻击源自土耳其。”
保护措施:关闭公开暴露的 RDP 系统
Conversant Group 的首席执行官 John A Smith 表示,SpaceColons 针对 Web 服务器和公开暴露的 RDP 系统的攻击手法之所以可行,是因为这些系统没有受到互联网的直接暴露。在过去七年中的数据泄露活动和关于 RDP 的公共教育努力背景下,Smith 指出,任何公司都不应公开暴露 RDP。
“此外,及时对公开暴露的 Web 服务器进行修补,通常可以在很大程度上减轻潜在的泄露风险。” Smith 补充道。“在
