El grupo de investigación de ESET, ESET Research, ha revelado nuevos detalles sobre la alarmante actividad del grupo de amenazas CosmicBeetle, que ha comenzado a desplegar su ransomware ScRansom, afectando gravemente a pequeñas y medianas empresas en Europa y Asia, con España como uno de los países más impactados. CosmicBeetle ha despertado preocupación entre los investigadores por su uso del constructor filtrado de LockBit y sus posibles vínculos con RansomHub, un actor emergente de ransomware como servicio activo desde marzo de 2024, lo que ha incrementado la alerta en la comunidad de ciberseguridad española.
“Probablemente debido a los obstáculos que supone escribir un ransomware personalizado desde cero, CosmicBeetle intentó aprovecharse de la reputación de LockBit, posiblemente para enmascarar los problemas subyacentes de su ransomware y, a su vez, aumentar las posibilidades de que las víctimas pagaran. Además, hace poco observamos el despliegue de varias muestras de ScRansom y RansomHub en la misma máquina con sólo una semana de diferencia. Esta ejecución de RansomHub fue muy inusual en comparación con los casos típicos que hemos visto en la telemetría de ESET, pero bastante similar al modus operandi de CosmicBeetle. Dado que no hay filtraciones públicas de RansomHub, esto nos lleva a creer con una confianza media que CosmicBeetle puede ser un afiliado reciente suyo”, afirma Jakub Souček, investigador de ESET que analizó la última actividad de CosmicBeetle.
CosmicBeetle suele utilizar métodos de fuerza bruta para vulnerar sus objetivos. Además, aprovecha varias vulnerabilidades conocidas. Las pequeñas y medianas empresas de todo tipo de sectores verticales en todo el mundo son las víctimas más comunes de este actor de amenaza, ya que es el segmento con más probabilidades de utilizar el software afectado, o de carecer de procesos robustos de gestión de parches. ESET Research ha observado ataques a PYMES en los siguientes sectores: industrial, farmacéutico, legal, educación, sanidad, tecnología, ocio hostelero, servicios financieros y gubernamental. En España, el 100% de los ataques se ha dirigido exclusivamente a empresas, con víctimas localizadas en sectores clave como la industria, los servicios financieros y la arquitectura.
Además de cifrar, ScRansom también puede matar varios procesos y servicios del sistema en la máquina afectada. ScRansom no es un ransomware muy sofisticado, aunque CosmicBeetle ha sido capaz de comprometer objetivos interesantes y causarles grandes daños. Esto se debe principalmente a que CosmicBeetle es un actor inmaduro en el mundo del ransomware, y los problemas abundan en el despliegue de ScRansom. Las víctimas afectadas por ScRansom que decidan pagar, deben ser cautelosas.
ESET Research pudo obtener un descifrador implementado por CosmicBeetle para su reciente esquema de cifrado. ScRansom está en constante desarrollo, lo que nunca es una buena señal para el ransomware. La excesiva complejidad del proceso de cifrado (y descifrado) es propensa a errores, lo que hace dudosa la restauración de todos los archivos. El éxito del descifrado depende de que el descifrador funcione correctamente y de que CosmicBeetle proporcione todas las claves necesarias, e incluso en ese caso, algunos archivos pueden ser destruidos permanentemente por el actor de la amenaza. Incluso en el mejor de los casos, el descifrado es largo y complicado.
CosmicBeetle, activo desde al menos 2020, es el nombre que los investigadores de ESET asignaron a un actor de amenazas descubierto en 2023. Este actor de amenazas es más conocido por el uso de su colección personalizada de herramientas Delphi, comúnmente llamada Spacecolon, que consiste en ScHackTool, ScInstaller, ScService y ScPatcher.
Para obtener más información técnica sobre la última actividad de CosmicBeetle, consulta el post “CosmicBeetle steps up: Período de prueba en RansomHub” en WeLiveSecurity.com. Sigue a ESET Research en X para conocer las últimas noticias e investigaciones del grupo.
Mapa de calor de los ataques realizados por CosmicBeetle desde agosto de 2023, según la telemetría de ESET
