CosmicBeetle Deploys Custom ScRansom Ransomware, Partnering with RansomHub
CosmicBeetle Deploys Custom ScRansom Ransomware, Partnering with RansomHub
Discover how CosmicBeetle's new ScRansom ransomware targets SMBs globally, its evolution from Scarab, and the latest cybersecurity threats facing busi
thehackernews.com
- CosmicBeetle의 새로운 랜섬웨어
- CosmicBeetle라는 해킹 그룹은 기존에 사용하던 Scarab 랜섬웨어 대신 새로운 ScRansom이라는 맞춤형 랜섬웨어를 배포
- 이 랜섬웨어는 유럽, 아시아, 아프리카, 남미의 중소기업을 대상으로 공격을 가하고 있으며, RansomHub라는 랜섬웨어 제휴 그룹과 협력하고 있는 것으로 보임
- 공격 대상
- 이번 공격은 제조업, 제약, 법률, 의료, 교육, 기술, 지방정부 등 다양한 산업을 대상으로 함
- ScRansom은 부분 암호화 기능과 "ERASE" 모드를 포함하고 있어 파일을 완전히 삭제하여 복구가 불가능하게 만듬
- 취약점 악용
- CosmicBeetle는 CVE-2017-0144, CVE-2020-1472, CVE-2021-42278 등의 알려진 취약점을 이용하여 시스템에 침투
- 보안 탐지를 우회하기 위해 Reaper 및 Darkside 같은 도구를 사용
- RansomHub와의 연결
- CosmicBeetle은 ScRansom과 RansomHub의 페이로드를 동일한 시스템에 배포하는 등 두 그룹 간의 협력 가능성이 높음
- 이들은 LockBit의 명성을 빌려 피해자들에게 랜섬을 지불하도록 압박하고 있는 것으로 보임
- Cicada3301의 새로운 랜섬웨어
- 또 다른 해킹 그룹인 Cicada3301은 새로운 암호화 기능을 추가한 랜섬웨어를 배포 중
- 이 랜섬웨어는 피해자 시스템에 랜섬 노트를 작성하지 않으며, 이전 랜섬웨어 그룹과 관련이 있을 가능성도 제기되고 있음
- EDR 무력화 도구
- 여러 랜섬웨어 그룹이 EDR(엔드포인트 탐지 및 대응) 소프트웨어를 무력화하기 위해 POORTRY라는 도구를 사용
- 이 도구는 시스템에서 중요한 파일을 삭제하여 EDR을 무용지물로 만듬
- STONESTOP이라는 로더를 통해 전달되며, 이를 통해 드라이버 서명을 우회하고 보안을 무력화함
- EDR 공격 지속
- 랜섬웨어 그룹들은 2022년 이후 EDR을 무력화하는 다양한 방법을 시도
- RansomHub 같은 그룹은 EDRKillShifter라는 도구를 사용하여 EDR 소프트웨어를 비활성화하고 있으며, 이러한 경향은 앞으로도 계속될 것으로 보임
이번 사례는 보안 방어 체계를 무력화하고 데이터를 암호화 또는 삭제하여 피해자를 협박하는 랜섬웨어 공격이 계속 진화하고 있음을 보여줌
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 모두투어 홈페이지서 악성코드로 개인정보 유출…"깊은 사과" (0) | 2024.09.14 |
|---|---|
| 공공 망분리 완화·등급보안체계 도입 (0) | 2024.09.14 |
| 보안뉴스_한국직업능력교육원, 해킹으로 개인정보 유출... 이름, 전화번호 등 4개 항목 (3) | 2024.09.11 |
| 조선biz_개인정보위 “카카오페이 정보 유출 관련 애플·알리페이도 조사중” (0) | 2024.09.11 |
| 보안뉴스_미추홀문화회관, 홈페이지 통해 개인정보 침해 사실 밝혀 (1) | 2024.09.09 |