Lieber, Jena

Lieber schlecht kopiert als schlecht selbst gemacht?

17.09.2024 - 09:30:00 | pressetext.de

Jena - Forscher des IT-Sicherheitsherstellers ESET haben neue AktivitĂ€ten der CosmicBeetle-Gruppe entdeckt. Sie verbreitet Ransomware an kleine und mittlere Unternehmen (KMU), hauptsĂ€chlich in Europa und Asien. Dabei kommt ihre Ransomware ScRansom zum Einsatz. In ihren Erpresserbriefen und Webseiten versucht CosmicBeetle, die Reputation der bekannten, mittlerweile inaktiven LockBit-Gruppe auszunutzen, um Opfer zur Zahlung zu bringen. DarĂŒber hinaus ist die Gruppe nun Teil des Ransomware-Dienstleisters RansomwareHub, der seit MĂ€rz 2024 aktiv ist und nun verstĂ€rkt in Erscheinung tritt.

"Eine eigene Ransomware zu schreiben, stellt auch Hackergruppen vor Herausforderungen – vor allem, wenn es sich um eine darin eher unerfahrene Gruppe wie CosmicBeetle handelt", erklĂ€rt ESET-Forscher Jakub Sou?ek. "Deshalb versuchte die Gruppe, die gute Reputation von Lockbit auszunutzen, um die Erfolgswahrscheinlichkeit fĂŒr eigene Angriffe zu erhöhen."

So kommen die Hacker ins Netzwerk

CosmicBeetle verwendet hĂ€ufig Brute-Force-Angriffe, um in die Systeme seiner Opfer einzudringen. Außerdem missbraucht die Gruppe verschiedene bekannte Schwachstellen. Der Grund dafĂŒr: Hier ist die Wahrscheinlichkeit am grĂ¶ĂŸten, dass die Zielunternehmen Software mit den entsprechenden SicherheitslĂŒcken verwenden. Außerdem besitzen Organisationen dieser GrĂ¶ĂŸe selten ein robustes Patch-Management. Zu den betroffenen Branchen gehören: Fertigung, Pharmazeutik, Recht, Bildung, Gesundheitswesen, Technologie, Gastgewerbe, Freizeit, Finanzdienstleistungen sowie regionale Behörden.

Das kann die Ransomware der Gruppe

ScRansom kann nicht nur verschlĂŒsseln, sondern auch verschiedene Prozesse und Dienste auf dem betroffenen Computer beenden. ScRansom ist allerdings keine sehr ausgefeilte Ransomware. Dennoch war CosmicBeetle mit ihr in der Lage, einige wichtige Unternehmen erfolgreich anzugreifen.

Von ScRansom betroffene Opfer sollten bedenken: Die fehleranfĂ€llige EntschlĂŒsselungs-Software der Hacker kann mutmaßlich nicht alle verschlĂŒsselten Daten wiederherstellen. Selbst im gĂŒnstigsten Fall ist die EntschlĂŒsselung langwierig und kompliziert. Das bedeutet: Selbst, wenn sich Organisationen zur Zahlung des Lösegelds entschließen und das EntschlĂŒsselungs-Tool erhalten, gehen im schlimmsten Fall viele Dateien verloren. ScRansom wird stĂ€ndig weiterentwickelt. Dies spricht fĂŒr eine qualitativ mangelhafte Ransomware.

Was ĂŒber die Gruppe bekannt ist

CosmicBeetle ist aktiv seit mindestens 2020. Entdeckt wurde die Gruppe 2023 und sie ist vor allem fĂŒr die Verwendung ihrer eigens geschaffenen Delphi-Tools bekannt, die gemeinhin Spacecolon genannt werden. Diese bestehen aus ScHackTool, ScInstaller, ScService und ScPatcher.

Weitere Informationen zu CosmicBeetle gibt es im Blogpost "CosmicBeetle tritt RansomHub bei ( https://www.welivesecurity.com/de/eset-research/cosmicbeetle-tritt-ransomhub-bei )" auf WeLiveSecurity.de.

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de

So schÀtzen die Börsenprofis Aktien ein!

<b>So schÀtzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlĂ€ssliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂŒr. Immer. Kostenlos.
wissenschaft | 65783396 |