Scarab-Ransomware mit SpaceColon Toolkit bereitgestellt

Aug 30, 2023

Betrugsmanagement und Cyberkriminalität, Ransomware

Hacker verwenden ein Toolset, das erstmals im Jahr 2020 erschien und offenbar von türkischsprachigen Personen entwickelt wurde, um Scarab-Ransomware einzusetzen, sagen Sicherheitsforscher.

Siehe auch: Live-Webinar | Pegasus entlarven: Erkennen Sie die Bedrohung und stärken Sie Ihre digitale Verteidigung

Das Cybersicherheitsunternehmen Eset sagte, das Toolkit mit dem Namen SpaceColon bestehe aus drei Hauptkomponenten: einem Downloader, einem Installer und einer Hintertür, die zur Bereitstellung von Scarab verwendet wird. SpaceColon ist wie die Ransomware in der Softwaresprache Delphi geschrieben. Ein polnisches Cybersicherheitsunternehmen dokumentierte das Tool-Set erstmals im Februar.

Eset nannte die Bedrohungsakteure hinter SpaceColon „CosmicBeetle“. Mehrere Builds des Toolkits „enthalten viele türkische Strings; daher vermuten wir einen türkischsprachigen Entwickler“, schrieb Eset.

Telemetriedaten deuten darauf hin, dass CosmicBeetle Ziele kompromittiert, indem es das Passwort für Remote-Desktop-Protokollinstanzen brutal erzwingt oder Webserver kompromittiert. Eset geht mit „hoher Sicherheit“ davon aus, dass die Bedrohungsgruppe eine Sicherheitslücke aus dem Jahr 2020 namens ZeroLogon ausnutzt, die als CVE-2020-1472 verfolgt wird, basierend auf der Tatsache, dass CosmicBeetle-Hacker häufig Windows-Patches anwenden, um die Schwachstelle zu beheben, sobald sie Zugriff auf eine Sicherheitslücke hergestellt haben kompromittiertes System.

Die Forscher sind sich weniger sicher, ob CosmicBeetle auch Fehler im Fortinet Security Appliance-Betriebssystem FortiOS missbraucht hat. Sie sagten, dass sie dies glauben, „basierend auf der überwiegenden Mehrheit der Opfer, die in ihrer Umgebung Geräte mit FortiOS haben“ und der Tatsache, dass Komponenten von SpaceColon in ihrem Code auf die Zeichenfolge „Forti“ verweisen. „Leider liegen uns außer diesen Artefakten keine weiteren Details zu einer solchen möglichen Ausnutzung von Sicherheitslücken vor.“

Es scheint kein Muster für die CosmicBeetle-Opfer zu geben, die über den ganzen Globus verteilt sind. Eset nannte nur einige: ein thailändisches Krankenhaus und Touristenresort, eine israelische Versicherungsgesellschaft, eine mexikanische Schule und ein Umweltunternehmen in der Türkei. „CosmicBeetle wählt seine Ziele nicht aus; vielmehr findet es Server mit fehlenden kritischen Sicherheitsupdates und nutzt dies zu seinem Vorteil aus“, schrieb Eset.

Nicht jeder SpaceColon-Benutzer nutzte den Downloader und Installer, um die Hintertür bereitzustellen. In einigen Fällen verwendeten sie ein Open-Source-Toolkit namens Impacket.

Die Entwickler des Toolkits bereiten offenbar auch die Verbreitung einer neuen Ransomware vor, die Eset SCRansom nennt. Einige Beispiele wurden bereits aus der Türkei auf VirusTotal hochgeladen. Eset sagte, die Entwickler von SpaceColon und der neuen Ransomware seien dieselben, „basierend auf ähnlichen türkischen Zeichenfolgen im Code, der Verwendung der IPWorks-Bibliothek und der allgemeinen GUI-Ähnlichkeit“. Bisher wurde die Ransomware noch nicht in freier Wildbahn gesichtet.