ESET Research ha publicado su análisis de Spacecolon, un pequeño conjunto de herramientas utilizado para desplegar variantes del ransomware Scarab a víctimas de todo el mundo. Probablemente accede a las organizaciones víctimas a través de operadores que comprometen servidores web vulnerables o mediante la rotura de credenciales RDP por fuerza bruta. Varias variantes de Spacecolon contienen muchos comentarios dentro del código en turco, por tanto, ESET cree que está escrito por un desarrollador de habla turca. La compañía líder en ciberseguridad pudo rastrear los orígenes de Spacecolon al menos hasta mayo de 2020, y sus campañas siguen en curso. Además, ESET nombró a los operadores de Spacecolon “CosmicBeetle” para representar el vínculo con «espacio» y «escarabajo».
Los incidentes de Spacecolon identificados por la telemetría de ESET abarcan todo el mundo, con una alta prevalencia en países de la Unión Europea, como España, Francia, Bélgica, Polonia y Hungría. En otros lugares, ESET ha detectado una alta prevalencia en Turquía y México. Así mismo, CosmicBeetle parece estar preparando la distribución de un nuevo ransomware: ScRansom. Tras la infección, además de instalar el ransomware, Spacecolon ofrece una gran variedad de herramientas de terceros que permiten a los atacantes tratar de desactivar productos de seguridad, extraer información confidencial y obtener más acceso.
“No hemos observado ningún patrón en las víctimas de Spacecolon, aparte de que sean vulnerables a los métodos de acceso iniciales empleados por CosmicBeetle. Tampoco hemos encontrado ningún patrón entre las áreas de interés o el tamaño de los objetivos. Sin embargo, por nombrar algunos (por tipo y geografía), hemos observado Spacecolon en un hospital y centro turístico de Tailandia, una compañía de seguros de Israel, una institución gubernamental local de Polonia, un proveedor de entretenimiento de Brasil, una empresa medioambiental de Turquía y una escuela de México”, explica Jakub Souček, investigador de ESET Research y autor del análisis.
CosmicBeetle probablemente compromete servidores web vulnerables a la vulnerabilidad ZeroLogon o aquellos con credenciales RDP poco robustas. Además, Spacecolon puede proporcionar acceso de puerta trasera a sus operadores. CosmicBeetle no hace ningún esfuerzo considerable para ocultar su malware y deja un montón de artefactos en los sistemas comprometidos.
Después de que CosmicBeetle comprometa un servidor web vulnerable, despliega ScHackTool, el principal componente de Spacecolon que utiliza el grupo. Se basa en gran medida en su interfaz gráfica de usuario y en la participación activa de sus operadores, lo que les permite orquestar el ataque, descargando y ejecutando herramientas adicionales en la máquina comprometida bajo demanda, según les convenga. Si el objetivo se considera valioso, CosmicBeetle puede desplegar ScInstaller y utilizarlo, por ejemplo, para instalar ScService, que proporciona más acceso remoto.
La carga útil final que despliega CosmicBeetle es una variante del ransomware Scarab. Esta variante despliega internamente un ClipBanker, un tipo de malware que monitoriza el contenido del portapapeles y cambia el contenido que considere que puede ser una dirección de monedero de criptomoneda a una dirección controlada por el atacante.
Además, se está desarrollando una nueva familia de ransomware, con muestras subidas a VirusTotal desde Turquía. ESET Research cree con gran seguridad que está escrito por los mismos desarrolladores que Spacecolon, y ESET lo ha bautizado como ScRansom. ScRansom intenta cifrar todas las unidades de disco duro, extraíbles y remotas. ESET no ha observado que este ransomware se haya desplegado de forma masiva, y parece estar todavía en fase de desarrollo.
Distribución de las víctimas del Spacecolon
Jakub Souček. Más información aquí.