CosmicBeetle劫持者可能已经成为RansomHub的附属者

关键要点

CosmicBeetle也称为NONAME或Spacecolon可能已加入RansomHub。此集团的活动和策略在2023年被重新审视，并从2020年开始活跃。CosmicBeetle利用自定的工具释放新的勒索软件ScRansom，并针对未打补丁的系统发起攻击。小型和中型企业是其主要目标，需加强网络防御以抵御这些威胁。

CosmicBeetle勒索软件团伙被认为已成为RansomHub的一名附属者。根据ESET的一份报告，该团伙自2023年被发现以来的活动和战术得到了详细说明，尽管普遍认为该团伙至少自2020年开始活跃。

2024年6月，ESET针对一起使用RansomHub勒索软件和端点检测与响应EDR工具的攻击进行了调查，发现该事件与CosmicBeetle的过去活动有相似之处。安全研究人员表示，凭借“中等信心”，他们认为CosmicBeetle已成为RansomHub的附属。

“NoName团伙的活动显示出当前勒索软件领域的两个关键趋势。首先，勒索软件工具的复杂性在增加，其次，勒索软件团伙变得更加有组织，开始尝试诸如附属程序和冒充等策略以扩展他们的影响力。” James McQuiggan，KnowBe4的安全意识倡导者。

Spacecolon创造者利用自定义工具针对未打补丁的系统

根据ESET的追踪，CosmicBeetle以其使用自定义Delphi基础工具包Spacecolon而闻名，该工具包包括ScHackTool、ScInstaller、ScService、ScPatcher以及最近的ScRansom。

早前，CosmicBeetle利用该工具包辅助分发旧版Scarab勒索软件，该勒索软件首次出现于2017年。该团伙主要针对欧洲和亚洲的小型和中型企业SMB，涵盖多个行业，包括制造、制药、法律服务、教育、医疗、科技、酒店、金融服务和政府。

该团伙通常通过暴力破解方法入侵，也利用了如EternalBlueCVE20170144和ZerologonCVE20201472等旧漏洞。此外，它还被知晓使用Windows Active Directory缺陷CVE202142278和CVE202142287、FortiOS SSLVPN漏洞CVE202242475以及Veeam Backup amp Replication缺陷CVE202327532进行入侵。

老版本旋风加速免费

“由于基础设施常常过时且网络安全资源有限，小型和中型企业SMB仍然是主要目标。为了生存，SMB需要通过与管理安全服务提供商合作，优先进行定期打补丁和积极的防御策略。” McQuiggan表示。“对于这些企业来说，即便是不复杂的勒索软件也可能导致灾难性干扰。”

在2023年中，CosmicBeetle开始使用一种新勒索软件ScRansom，取代了Scarab。ESET的研究人员高度肯定这一勒索软件是CosmicBeetle自己开发的，作为Spacecolon工具箱的一部分。

ScRansom是一种相对简单的勒索软件，采用包含RSA和AES的复杂加密过程。该无序加密过程