Ransomware ScRansom cílí na zranitelnosti v systémech malých a středních firem

Bezpečnostní experti z ESETu zdokumentovali nasazení nového ransomwaru ScRansom ransomwarového gangu CosmicBeetle. Stopy útoků vedou i do České republiky, kde mezi jejími oběťmi byly například firmy z oblasti výroby nebo územní orgány státní správy. Své oběti napadá prostřednictvím několik let starých zranitelností v jejich IT systémech.

"Ransomware je jednou z největších crimeware hrozeb nejen ve světě, ale i v Česku, kde jsou dlouhodobě nejohroženějšími oblastmi zdravotnictví, školství a veřejná správa. Cílem těchto útoků je již tradičně finanční zisk. Z povahy věci tak velké a sofistikované gangy útočí především na velké organizace, malé a střední podniky jsou naopak zajímavými cíli pro menší a méně zkušené gangy. Tyto organizace a firmy totiž většinou nedisponují robustní ochranou a procesy pravidelných bezpečnostních aktualizací, které by je mohly před těmito útoky účinně ochránit. Podle našich pravidelných průzkumů patří únik nebo krádež dat mezi hrozby, kterých se firmy v Česku obávají nejvíce - s pokusem o útok ransomwarem se každý měsíc setká až desítka z nich. V případě gangu CosmicBeetle by pak firmy a organizace určitě neměly podcenit adekvátní ochranu před ransomwarem. Jelikož se jedná o mladého aktéra, který své škodlivé kódy a nástroje neustále vyvíjí, nedá se spolehnout na to, že budou vždy správně fungovat. Obnova dat pak nemusí být ani při zaplacení zaručena a nejlepší obranou je tak prevence," říká Jakub Souček, bezpečnostní expert z pražské výzkumné pobočky společnosti ESET, který stojí v čele týmu zabývajícím se mezinárodní kyberkriminalitou.

Podle společnosti ESET skupina CosmicBeetle využívá zveřejněný builder nechvalně proslulého ransomwarového gangu LockBit, který je v současnosti ve své aktivitě oslabený díky operaci Cronos z února 2024. Podle bezpečnostních specialistů se skupina snaží přiživit na reputaci tohoto aktéra a využít jeho značku ve svých útocích.

Napsat od nuly vlastní ransomwarový kód může přinášet řadu překážek. Pravděpodobně i z toho důvodu se skupina CosmicBeetle rozhodla, že využije reputaci gangu LockBit. Může za tím být snaha zakrýt nějaké problémy v základním kódu a zvýšit tak šanci, že oběti přesto zaplatí.

Kromě těchto zjištění je také pravděpodobné, že CosmicBeetle je novým partnerem gangu RansomHub, který funguje jako tzv. rasnomware-as-a-service. Jedná se o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům.

RansomHub je aktivní od letošního března a velmi rychle se vyšplhal mezi nejvýraznější aktéry na mezinárodní ransomwarové scéně.

Skupina CosmicBeetle často používá tzv. útoky hrubou silou k prolomení obrany systémů svých obětí. Kromě toho zneužívá také řadu známých zranitelností. Mezi její nejčastější oběti patří malé a střední podniky z různých odvětví po celém světě.

Segment malých a středních firem obvykle využívá softwarové nástroje, které jsou těmito útoky postiženy. Tyto organizace také často nemají zavedené robustní procesy správy bezpečnostních záplat. ESET zaznamenal útoky v následujících odvětvích a oblastech - výroba, farmacie, právní služby, vzdělávání, zdravotnictví, technologie, pohostinství, finanční služby či územní orgány státní správy.

Skupina CosmicBeetle je aktivní minimálně od roku 2020 a název ji experti z ESETu přiřadili po jejím objevení v roce 2023. Tento ransomwarový gang je nejvíce známý používáním své vlastní sbírky nástrojů psaných v jazyce Delphi, souhrnně nazývaných Spacecolon.

Obnova dat nemusí být úspěšná

Kromě zašifrování souborů může ransomware ScRansom zastavit také různé procesy a služby na postiženém zařízení. ScRansom není příliš pokročilý ransomware, přesto se skupině CosmicBeetle podařilo napadnout významné cíle a způsobit jim velké škody.

Oběti postižené ransomwarem ScRansom by tak měly být opatrné, pokud se rozhodnou útočníkům za dešifrování souborů zaplatit. CosmicBeetle je totiž stále nezkušený ransomwarový gang a nasazení škodlivého kódu ScRansom provází problémy.

Bezpečnostním expertům z ESETu se podařilo získat dešifrovací nástroj skupiny CosmicBeetle, který využívala ve svých nedávných útocích. Škodlivý kód ScRansom prochází neustálým vývojem, což není z hlediska ransomwarových útoků nikdy dobré znamení - přílišná komplikovanost procesu zašifrování (a dešifrování) vytváří prostor pro chyby, což má vliv na to, jak úspěšné bude obnovení všech souborů.

Úspěšné dešifrování závisí na správné funkci dešifrovacího nástroje a na tom, zda útočníci z CosmicBeetle poskytnou všechny potřebné dešifrovací klíče.