CosmicBeetle Ransomware
En el submundo cibercriminal, y más específicamente en el grupo de las bandas de ransomware, es común que emerjan nuevos grupos día con día. Al ser algo inmaduros, se enfrentan con la dificultad de que ya hay otros grupos más establecidos y con mejores capacidades para llevar a cabo sus actividades maliciosas, por lo que los nuevos grupos se ven orillados a hacer uso de códigos filtrados de operaciones más grandes que las de ellos o bien afiliarse a algún grupo con mejores capacidades.
CosmicBeetle es un grupo de ransomware que tiene tiempo en el mercado y ha intentado ganar reputación con el paso del tiempo. Este grupo ha estado activo desde 2020, pero su detección no ocurrió hasta 2023, por parte del equipo de ESET. También se le conoce como NoName, debido a su página de filtraciones con este mismo nombre. [1] [3]
Este grupo tiene un repertorio de herramientas y ha estado involucrado en diferentes ataques. Por ejemplo, en 2022 llevó a cabo ataques de denegación de servicio distribuido (DDoS) contra distintos objetivos ucranianos, como noticieros y páginas web, con el objetivo de silenciar propaganda antirrusa. Además de estos ataques, en su repertorio de herramientas se encuentra un ransomware, que antes era llamado Scarab, pero ahora se ha renombrado bajo la denominación de ScRansom, y que continuamente recibe actualizaciones para mejorar su eficacia y complejidad. Otra de sus peculiaridades es que utiliza el constructor de Lockbit filtrado, y también trata de engañar a otros haciéndose pasar por Lockbit en sus notas de rescate y en su sitio de filtraciones. [2]
Imagen del sitio de filtraciones de CosmicBeetle.
Imagen del sitio de filtraciones de lockbit 3.0.
En noviembre de 2023, CosmicBeetle decidió llevar la suplantación de Lockbit a otro nivel, haciendo que su sitio de filtraciones original fuera casi idéntico al de Lockbit, con algunas diferencias, pero que a simple vista para una víctima no serían detectables. [1]
Imagen del sitio de filtraciones de CosmicBeetle que suplanta a lockbit.
Recientemente, también se observó una relación con Ransomhub en un incidente de seguridad en una empresa de manufactura de la India. Cuando CosmicBeetle intentó comprometer la empresa, falló y se intentaron ejecutar diferentes herramientas para evadir la protección de EDR. Estas herramientas eran: Reaper, Darkside y RealBlindingEDR. Después de unos días, en el mismo dispositivo, se intentó ejecutar el EDR killer de Ransomhub. Dos días después, volvió a intentar ejecutarse el EDR killer de Ransomhub. [1]
Aunque el comportamiento de cómo se inició la ejecución del EDR killer es muy inusual en los afiliados de Ransomhub, se cree (aún sin confirmar) que CosmicBeetle es un nuevo afiliado a la operación. La manera en que se ejecutó el programa para desactivar EDR fue manual, desde la carpeta C:\Users\Administrator\Music\1.0.8.zip, algo muy inusual en los afiliados, por lo que no se tiene certeza de si se han afiliado o si se ha filtrado el builder de Ransomhub, aunque tampoco se tienen pruebas de esto. [1]
Indicadores de Compromiso:
|
Tipo |
IOC |
|
SHA-1 |
4497406D6EE7E2EF561C949AC88BB973BDBD214B |
|
SHA-1 |
3C32031696DB109D5FA1A09AF035038BFE1EBE30 |
|
SHA-1 |
26D9F3B92C10E248B7DD7BE2CB59B87A7A011AF7 |
|
SHA-1 |
1CE78474088C14AFB8495F7ABB22C31B397B57C7 |
|
SHA-1 |
1B635CB0A4549106D8B4CD4EDAFF384B1E4177F6 |
|
SHA-1 |
DAE100AFC12F3DE211BFF9607DD53E5E377630C5 |
|
SHA-1 |
705280A2DCC311B75AF1619B4BA29E3622ED53B6 |
|
IP |
66.29.141.245 |
Taxonomia MITTRE ATT&CK
|
Tactica |
ID |
Nombre |
|
Reconnaissance |
T1595.002 |
Active Scanning: Vulnerability Scanning |
|
Reconnaissance |
T1590.005 |
Gather Victim Network Information: IP Addresses |
|
Resource Development |
T1583.001 |
Acquire Infrastructure: Domains |
|
Resource Development |
T1587.001 |
Develop Capabilities: Malware |
|
Resource Development |
T1588.002 |
Obtain Capabilities: Tool |
|
Resource Development |
T1588.005 |
Obtain Capabilities: Exploits |
|
Resource Development |
T1588.001 |
Obtain Capabilities: Malware |
|
Initial Access |
T1190 |
Exploit Public-Facing Application |
|
Execution |
T1204 |
User Execution |
|
Execution |
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
|
Execution |
T1059.001 |
Command and Scripting Interpreter: PowerShell |
|
Persistence |
T1136.001 |
Create Account: Local Account |
|
Defense Evasion |
T1078 |
Valid Accounts |
|
Defense Evasion |
T1140 |
Deobfuscate/Decode Files or Information |
|
Credential Access |
T1110.001 |
Brute Force: Password Guessing |
|
Credential Access |
T1212 |
Exploitation for Credential Access |
|
Impact |
T1485 |
Data Destruction |
|
Impact |
T1486 |
Data Encrypted for Impact |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Souček, J (2024, Septiembre 10) CosmicBeetle steps up: Probation period at RansomHub. Recuperado el 10 de septiembre del 2024 en: https://www.welivesecurity.com/en/eset-research/cosmicbeetle-steps-up-probation-period-ransomhub/
- Khaitan, A. (2023, Diciembre 18) Cyber Chaos in Ukraine: NoName Ransomware Strikes Prominent Targets. Recuperado el 10 de septiembre del 2024 en: https://thecyberexpress.com/noname-ransomware-attack/#:~:text=The%20rise%20of%20NoName%20Ransomware%20Group%20The%20group,reflecting%20the%20broader%20geopolitical%20tensions%20in%20the%20region
- Toulas, B. (2024, Septiembre 10) NoName ransomware gang deploying RansomHub malware in recent attacks. Recuperado el 10 de septiembre del 2024 en: https://www.bleepingcomputer.com/news/security/noname-ransomware-gang-deploying-ransomhub-malware-in-recent-attacks/
