ESET découvre que le groupe CosmicBeetle s’associe à d’autres gangs de ransomwares et cible des entreprises en France. Tribune ESET.
- Les chercheurs d’ESET ont mené l’enquête sur ScRansom, un nouveau ransomware développé par le groupe CosmicBeetle.
- CosmicBeetle a débuté avec les outils Lockbit qui ont fuité.
- CosmicBeetle est probablement devenu récement un affilié RansomHub
- ScRansom est continuellement amélioré ; cependant, il est impossible de restaurer certains fichiers.
- CosmicBeetle exploite des vulnérabilités vieilles de plusieurs années pour s’infiltrer dans les PME, en se concentrant sur l’Europe et l’Asie.
Les chercheurs d’ESET ont cartographié les activités récentes du groupe CosmicBeetle, documentant le déploiement de son nouveau ransomware ScRansom et découvrant des liens avec d’autres gangs de ransomwares bien établis. CosmicBeetle a diffusé ses ransomwares à des petites et moyennes entreprises (PME), principalement en Europe et en Asie. La recherche ESET met en évidence que l’outil de création de logiciels malveillant LockBit (divulgué au grand jour) est utilisé. Le groupe tente même de surfer sur la réputation du ransomware LockBit. Outre LockBit, ESET pense que CosmicBeetle est probablement un nouvel affilié de l’acteur de « ransomware-as-a-service » RansomHub, un nouveau gang de ransomware actif depuis mars 2024 avec une activité en forte hausse.
Jakub Souček, chercheur chez ESET, qui a analysé l’activité récente de CosmicBeetle, déclare :
« Probablement en raison des obstacles que présente l’écriture d’un ransomware personnalisé à partir de zéro, CosmicBeetle a tenté de profiter de la réputation de LockBit, peut-être pour masquer les problèmes de leur ransomware original et ainsi augmenter les chances que les victimes paient. De plus, récemment, nous avons observé le déploiement des charges utiles ScRansom et RansomHub sur la même machine à seulement une semaine d’intervalle. Cette exécution de RansomHub est très inhabituelle en comparaison des cas typiques que nous observons dans la télémétrie d’ESET, mais assez similaire au modus operandi de CosmicBeetle. Comme il n’y a pas de fuites publiques de RansomHub, cela nous porte à croire, avec une confiance moyenne, que CosmicBeetle pourrait être un affilié récent de leur groupe ».
CosmicBeetle utilise fréquemment la « brute force » pour s’infiltrer chez ses cibles. En plus de cela, il exploite diverses vulnérabilités connues. Les petites et moyennes entreprises de tous les secteurs (du monde entier) sont les victimes usuelles de cet acteur, car c’est le segment le plus susceptible d’utiliser les logiciels non mis à jour et de manquer de processus robustes de gestion des correctifs. ESET a observé des attaques sur des PME dans les secteurs suivants : fabrication, produits pharmaceutiques, juridique, éducation, santé, technologie, loisirs hôteliers, services financiers et administrations.
En plus de chiffrer, ScRansom peut également tuer divers processus et services sur la machine infectée. ScRansom n’est pas un ransomware très sophistiqué, bien que CosmicBeetle ait pu compromettre des cibles d’importance et leur causer de grands dommages. Cela s’explique principalement par le fait que CosmicBeetle est un acteur récent dans le monde du ransomware, et des problèmes affectent le déploiement de ScRansom. Les victimes touchées par ScRansom qui décident de payer devraient y réfléchir à plusieurs fois.
ESET a pu obtenir un déchiffreur mis en œuvre par CosmicBeetle. ScRansom est en développement constant, ce qui n’est jamais un bon signe pour un ransomware. La complexité excessive du processus de chiffrement (et de déchiffrement) est sujette aux erreurs, rendant aléatoire la restauration des fichiers. Le succès de l’opération de déchiffrement dépend du bon fonctionnement du déchiffreur et de la fourniture par CosmicBeetle de toutes les clés nécessaires, et même dans ce cas, certains fichiers peuvent être détruits de façon irrémédiable. Même dans le meilleur des scénarios, le déchiffrement est long et compliqué.
CosmicBeetle, actif depuis au moins 2020, est le nom que les chercheurs ESET ont attribué à un acteur de menace découvert en 2023. Cet acteur est surtout connu pour l’utilisation de sa collection personnalisée d’outils Delphi, communément appelée Spacecolon, composée de ScHackTool, ScInstaller, ScService et ScPatcher.
Pour plus d’informations techniques sur l’activité récente de CosmicBeetle, consultez l’article de blog « CosmicBeetle monte en puissance : Période d’essai chez RansomHub » sur WeLiveSecurity.com. CosmicBeetle steps up: Probation period at RansomHub
