【安全资讯】CosmicBeetle的ScRansom勒索软件：对欧洲和亚洲企业的日益威胁

概要：

ESET研究人员追踪到一个名为CosmicBeetle的威胁行为者，该组织加强了其勒索软件活动，用自定义工具ScRansom取代了之前的Scarab勒索软件。CosmicBeetle主要针对欧洲和亚洲的中小型企业，其不断演变的战术引起了全球网络安全专业人士的关注。

主要内容：

CosmicBeetle自2020年以来一直活跃，最近从部署Scarab勒索软件转向开发自己的定制勒索软件ScRansom。尽管ScRansom不如LockBit等勒索软件复杂，但它已经对目标组织造成了重大损害。ESET研究人员认为，这一转变是由于CosmicBeetle正在开发更专业的工具，尽管其在勒索软件生态系统中相对不成熟，但仍能造成更大的破坏。

为了提高声誉并增加赎金支付，CosmicBeetle冒充著名的LockBit团伙，使用泄露的LockBit构建器制作假赎金通知，并模仿LockBit的专用泄露网站，以进一步说服受害者支付赎金。这种战术虽然具有欺骗性，但突显了这个新兴勒索软件组织的资源fulness。

最近，CosmicBeetle被怀疑与一个相对较新的勒索软件即服务（RaaS）平台RansomHub有联系。ESET研究人员认为，CosmicBeetle正在使用RansomHub的工具与其自己的工具相结合，将ScRansom负载与RansomHub的EDR杀手工具混合使用，以访问高价值目标。这种合作表明，CosmicBeetle正在扩大其业务，并寻求与网络犯罪地下世界中更成熟的勒索软件行为者合作。

CosmicBeetle的主要目标是制造业、医疗、教育和金融服务等多个行业的中小型企业。这些企业通常缺乏强大的补丁管理或网络安全措施，特别容易受到勒索软件攻击。CosmicBeetle利用CVE-2017-0144（EternalBlue）和CVE-2023-27532（Veeam Backup & Replication）等漏洞来入侵系统。尽管ScRansom不如其他勒索软件家族完善，但它正在不断发展。ScRansom采用的加密过程非常复杂，使受害者难以解密。在某些情况下，需要多个解密密钥，即使这样，受害者也可能会永久丢失文件，具体取决于CosmicBeetle在加密过程中应用的模式。