Scarab Ransomware implementado utilizando el kit de herramientas SpaceColon

Aug 30, 2023

Gestión de fraude y ciberdelincuencia, ransomware

Los piratas informáticos están utilizando un conjunto de herramientas que apareció por primera vez en 2020 y aparentemente fue desarrollado por hablantes de turco para implementar el ransomware Scarab, dicen los investigadores de seguridad.

Ver también: Seminario web en vivo | Desenmascarando a Pegasus: comprenda la amenaza y fortalezca su defensa digital

La firma de ciberseguridad Eset dijo que el conjunto de herramientas, denominado SpaceColon, consta de tres componentes principales: un descargador, un instalador y una puerta trasera utilizada para implementar Scarab. SpaceColon, al igual que el ransomware, está escrito en el lenguaje del software Delphi. Una empresa polaca de ciberseguridad documentó por primera vez el conjunto de herramientas en febrero.

Eset apodó a los actores de amenazas detrás de SpaceColon "CosmicBeetle". Varias versiones del kit de herramientas "contienen muchas cadenas turcas; por lo tanto, sospechamos de un desarrollador de habla turca", escribió Eset.

La telemetría sugiere que CosmicBeetle comprometa los objetivos forzando la contraseña a instancias de protocolo de escritorio remoto o comprometiendo servidores web. Eset evaluó con "alta confianza" que el grupo de amenazas explota una vulnerabilidad de 2020 conocida como ZeroLogon, rastreada como CVE-2020-1472, basándose en el hecho de que los piratas informáticos de CosmicBeetle a menudo aplican parches de Windows para corregir la falla una vez que han establecido acceso a un sistema comprometido.

Los investigadores no están tan seguros de si CosmicBeetle también abusó de fallas en el sistema operativo del dispositivo de seguridad Fortinet, FortiOS. Dijeron que así lo creen "basándose en que la gran mayoría de las víctimas tienen dispositivos que ejecutan FortiOS en su entorno" y el hecho de que los componentes de SpaceColon hacen referencia a la cadena "Forti" en su código. "Desafortunadamente, además de estos artefactos, no tenemos más detalles sobre una posible explotación de vulnerabilidades".

Parece no haber ningún patrón para las víctimas de CosmicBeetle, que se distribuyen por todo el mundo. Eset nombró sólo algunos: un hospital y centro turístico tailandés, una compañía de seguros israelí, una escuela mexicana y una empresa medioambiental en Turquía. "CosmicBeetle no elige sus objetivos; más bien, encuentra servidores a los que les faltan actualizaciones de seguridad críticas y los explota en su beneficio", escribió Eset.

No todos los usuarios de SpaceColon utilizaron el descargador y el instalador para implementar la puerta trasera. En algunos casos, utilizaron un conjunto de herramientas de código abierto llamado Impacket.

Los desarrolladores del kit de herramientas también parecen estar preparándose para distribuir un nuevo ransomware que Eset denominó SCRansom. Algunas muestras ya se han subido a VirusTotal desde Turquía. Eset dijo que los desarrolladores de SpaceColon y el nuevo ransomware son los mismos "basados ​​en cadenas turcas similares en el código, el uso de la biblioteca IPWorks y la similitud general de la GUI". Hasta ahora, el ransomware no ha sido detectado en la naturaleza.