21 am besten bei
Jun 24, 2023Bed Bath & Beyond Labor Day Sale: Sparen Sie bei den wichtigsten Haushaltsartikeln
Jun 25, 20237 Amazon-Haushaltsartikel für Aufbewahrung, Wäsche und mehr
Jun 26, 2023Kyle Gibsons acht Innings und Cedric Mullins' Werkzeugsatz führten Orioles zur Serie
Jun 27, 2023Was Sie vor dem Kauf über das Craftsman-Mechaniker-Werkzeugset CMMT45305 wissen sollten
Jun 28, 2023Scarab-Ransomware mit SpaceColon Toolkit bereitgestellt
Betrugsmanagement und Cyberkriminalität, Ransomware
Hacker verwenden ein Toolset, das erstmals im Jahr 2020 erschien und offenbar von türkischsprachigen Personen entwickelt wurde, um Scarab-Ransomware einzusetzen, sagen Sicherheitsforscher.
Siehe auch: Live-Webinar | Pegasus entlarven: Erkennen Sie die Bedrohung und stärken Sie Ihre digitale Verteidigung
Das Cybersicherheitsunternehmen Eset sagte, das Toolkit mit dem Namen SpaceColon bestehe aus drei Hauptkomponenten: einem Downloader, einem Installer und einer Hintertür, die zur Bereitstellung von Scarab verwendet wird. SpaceColon ist wie die Ransomware in der Softwaresprache Delphi geschrieben. Ein polnisches Cybersicherheitsunternehmen dokumentierte das Tool-Set erstmals im Februar.
Eset nannte die Bedrohungsakteure hinter SpaceColon „CosmicBeetle“. Mehrere Builds des Toolkits „enthalten viele türkische Strings; daher vermuten wir einen türkischsprachigen Entwickler“, schrieb Eset.
Telemetriedaten deuten darauf hin, dass CosmicBeetle Ziele kompromittiert, indem es das Passwort für Remote-Desktop-Protokollinstanzen brutal erzwingt oder Webserver kompromittiert. Eset geht mit „hoher Sicherheit“ davon aus, dass die Bedrohungsgruppe eine Sicherheitslücke aus dem Jahr 2020 namens ZeroLogon ausnutzt, die als CVE-2020-1472 verfolgt wird, basierend auf der Tatsache, dass CosmicBeetle-Hacker häufig Windows-Patches anwenden, um die Schwachstelle zu beheben, sobald sie Zugriff auf eine Sicherheitslücke hergestellt haben kompromittiertes System.
Die Forscher sind sich weniger sicher, ob CosmicBeetle auch Fehler im Fortinet Security Appliance-Betriebssystem FortiOS missbraucht hat. Sie sagten, dass sie dies glauben, „basierend auf der überwiegenden Mehrheit der Opfer, die in ihrer Umgebung Geräte mit FortiOS haben“ und der Tatsache, dass Komponenten von SpaceColon in ihrem Code auf die Zeichenfolge „Forti“ verweisen. „Leider liegen uns außer diesen Artefakten keine weiteren Details zu einer solchen möglichen Ausnutzung von Sicherheitslücken vor.“
Es scheint kein Muster für die CosmicBeetle-Opfer zu geben, die über den ganzen Globus verteilt sind. Eset nannte nur einige: ein thailändisches Krankenhaus und Touristenresort, eine israelische Versicherungsgesellschaft, eine mexikanische Schule und ein Umweltunternehmen in der Türkei. „CosmicBeetle wählt seine Ziele nicht aus; vielmehr findet es Server mit fehlenden kritischen Sicherheitsupdates und nutzt dies zu seinem Vorteil aus“, schrieb Eset.
Nicht jeder SpaceColon-Benutzer nutzte den Downloader und Installer, um die Hintertür bereitzustellen. In einigen Fällen verwendeten sie ein Open-Source-Toolkit namens Impacket.
Die Entwickler des Toolkits bereiten offenbar auch die Verbreitung einer neuen Ransomware vor, die Eset SCRansom nennt. Einige Beispiele wurden bereits aus der Türkei auf VirusTotal hochgeladen. Eset sagte, die Entwickler von SpaceColon und der neuen Ransomware seien dieselben, „basierend auf ähnlichen türkischen Zeichenfolgen im Code, der Verwendung der IPWorks-Bibliothek und der allgemeinen GUI-Ähnlichkeit“. Bisher wurde die Ransomware noch nicht in freier Wildbahn gesichtet.