Il ransomware Scarab è stato distribuito utilizzando SpaceColon Toolkit

Aug 30, 2023

Gestione delle frodi e criminalità informatica, ransomware

Gli hacker stanno utilizzando un set di strumenti apparso per la prima volta nel 2020 e apparentemente sviluppato da persone di lingua turca per distribuire il ransomware Scarab, affermano i ricercatori di sicurezza.

Vedi anche: Webinar dal vivo | Smascherare Pegasus: comprendi la minaccia e rafforza la tua difesa digitale

La società di sicurezza informatica Eset ha affermato che il toolkit, soprannominato SpaceColon, è costituito da tre componenti principali: un downloader, un programma di installazione e una backdoor utilizzata per distribuire Scarab. SpaceColon, come il ransomware, è scritto nel linguaggio del software Delphi. Una società polacca di sicurezza informatica ha documentato per la prima volta il set di strumenti a febbraio.

Eset ha soprannominato gli autori delle minacce dietro SpaceColon "CosmicBeetle". Diverse build del toolkit "contengono molte stringhe turche; quindi sospettiamo uno sviluppatore di lingua turca", ha scritto Eset.

La telemetria suggerisce che CosmicBeetle compromette gli obiettivi forzando brutalmente la password su istanze del protocollo desktop remoto o compromettendo i server Web. Eset ha valutato con "alta sicurezza" che il gruppo di minacce sfrutta una vulnerabilità del 2020 nota come ZeroLogon, tracciata come CVE-2020-1472, sulla base del fatto che gli hacker di CosmicBeetle spesso applicano patch di Windows per correggere il difetto una volta stabilito l'accesso a un sistema compromesso.

I ricercatori non sono sicuri se CosmicBeetle abbia abusato anche dei difetti del sistema operativo FortiOS dell'appliance di sicurezza Fortinet. Hanno affermato di crederlo "sulla base del fatto che la stragrande maggioranza delle vittime dispone di dispositivi che eseguono FortiOS nel loro ambiente" e del fatto che i componenti di SpaceColon fanno riferimento alla stringa "Forti" nel loro codice. "Sfortunatamente, non abbiamo ulteriori dettagli su tale possibile sfruttamento della vulnerabilità oltre a questi artefatti."

Sembra non esserci alcun modello per le vittime del CosmicBeetle, che sono distribuite in tutto il mondo. Eset ne ha citati solo alcuni: un ospedale e resort turistico tailandese, una compagnia assicurativa israeliana, una scuola messicana e una compagnia ambientale in Turchia. "CosmicBeetle non sceglie i suoi obiettivi; piuttosto, trova i server con aggiornamenti di sicurezza critici mancanti e sfrutta questo a suo vantaggio", ha scritto Eset.

Non tutti gli utenti di SpaceColon hanno utilizzato il downloader e il programma di installazione per distribuire la backdoor. In alcuni casi, hanno utilizzato un toolkit open source chiamato Impacket.

Sembra che gli sviluppatori del toolkit si stiano preparando a distribuire un nuovo ransomware che Eset ha soprannominato SCRansom. Alcuni campioni sono già stati caricati su VirusTotal dalla Turchia. Eset ha affermato che gli sviluppatori di SpaceColon e del nuovo ransomware sono gli stessi "sulla base di stringhe turche simili nel codice, utilizzo della libreria IPWorks e somiglianza generale della GUI". Finora il ransomware non è stato individuato in circolazione.