Un grupo de ciberdelincuentes, o un individuo, conocido como “CosmicBeetle” está explotando vulnerabilidades en tecnologías utilizadas por pequeñas empresas en Turquía, así como en España, India y Sudáfrica. El objetivo es instalar ransomware que, lamentablemente para las víctimas, a veces presenta problemas.
Probablemente con base en Turquía, el hacker opera con un “nivel bastante bajo de sofisticación” y actualmente está desarrollando ransomware que presenta un “esquema de cifrado bastante caótico”, según un análisis de la firma eslovaca de ciberseguridad ESET. CosmicBeetle a menudo implementa ransomware personalizado, denominado ScRansom por ESET, que parece estar en desarrollo activo con actualizaciones y cambios frecuentes.
Mientras CosmicBeetle demuestra una falta de madurez como desarrollador de malware, una variedad de problemas han afectado a las víctimas del ransomware del actor de amenazas, dice Jakub Souček, investigador senior de malware de ESET, quien analizó CosmicBeetle. En un caso, ESET trabajó con una organización víctima y descubrió que las rutinas de cifrado se ejecutaban varias veces en algunas de las máquinas infectadas, lo que provocaba que algunos datos no se pudieran recuperar.
“Las bandas experimentadas prefieren mantener su proceso de descifrado lo más simple posible para aumentar las posibilidades de un descifrado correcto, lo que mejora su reputación y aumenta la probabilidad de que las víctimas paguen”, dice el informe.
Pero para CosmicBeetle, “aunque pudimos comprobar que el descifrador – en su versión más reciente – funciona desde un punto de vista técnico, todavía entran en juego muchos factores, y cuanto más lo necesitas [for decryption] “Cuanto más malicioso sea el actor de la amenaza, más incierta será la situación”, afirma. “No ayuda que el ransomware ScRansom siga evolucionando con bastante rapidez. »
La relativa inmadurez del actor de amenazas CosmicBeetle llevó al grupo a embarcarse en dos estrategias interesantes: según informe de ESET. Primero, el grupo intentó insinuar vínculos con el infame grupo cibercriminal LockBit para, irónicamente, inspirar confianza en su capacidad para ayudar a las víctimas a recuperar sus datos. En segundo lugar, el grupo también se unió a la Programa de afiliados de RansomHuby ahora suele instalar este ransomware en lugar de su propio malware personalizado.
Dirigirse a las PYME de forma oportunista
Para iniciar sus compromisos, el grupo CosmicBeetle busca e intenta explotar una variedad de vulnerabilidades antiguas en software típicamente utilizado por pequeñas y medianas empresas, como problemas en Veeam Backup & Replication (CVE-2023-27532), que puede permitir a atacantes no autenticados acceder a la infraestructura de respaldo, o dos vulnerabilidades de escalada de privilegios en Microsoft Active Directory (CVE-2021-42278 y CVE-2021-42287), que juntas permiten a un usuario de “Conviértase efectivamente en administrador de dominio. »
El grupo probablemente no se dirige específicamente a las PYME, pero debido al software al que apunta para explotar, las pequeñas empresas constituyen la mayoría de sus víctimas, dice Souček.
“CosmicBeetle explota vulnerabilidades conocidas bastante antiguas, que deberían parchearse en empresas más grandes con una mejor gestión de parches”, afirma, y añade: “Las víctimas fuera de la UE y EE. UU., especialmente las pymes, suelen ser el resultado de bandas de ransomware inmaduras y sin experiencia que se aprovechan de las vulnerabilidades”. fruta madura. »
Los objetivos incluyen empresas de los sectores manufacturero, farmacéutico, legal, educativo y sanitario, entre otros, según Informe de ESET publicado el 10 de septiembre.
“Las PYMES de todo tipo de sectores verticales en todo el mundo son las víctimas más comunes de este actor de amenazas, ya que son el segmento con mayor probabilidad de utilizar el software afectado y no contar con procesos implementados y sistemas sólidos de gestión de parches”, afirma el informe.
¿Delicia turca? No precisamente
Turquía tiene el mayor número de organizaciones de víctimas, pero un número significativo también proviene de España, India, Sudáfrica y un puñado de otros países, según datos recopilados por ESET del sitio de filtraciones CosmicBeetle.
Si bien una empresa ya ha establecido un vínculo entre el actor de la amenaza y una persona real (un desarrollador de software turco), ESET ha puesto en duda el vínculo. Aún así, dado que Turquía representa una mayor proporción de infecciones, el grupo probablemente se originó en ese país o región, reconoce Souček.
“Podemos suponer que CosmicBeetle conoce mejor Turquía y se siente más cómodo eligiendo allí sus objetivos”, afirma. “En cuanto a otros objetivos, es puramente oportunista: una combinación de la vulnerabilidad del objetivo y si es ‘lo suficientemente atractivo’ como objetivo de ransomware. »