Die Hackergruppe Cosmicbeetle greift weltweit Organisationen an, vor allem europäische. Die Gruppe verwendet das Toolset Spacecolon, um Ransomware unter ihren Opfern zu verbreiten und Lösegeld zu erpressen, berichten die Security-Experten von Eset. Dafür nutze sie die Zerologon-Schwachstelle bei Webservern aus. Alternativ greifen die Hacker auf klassische Bruteforce-Angriffe auf RDP-Zugangsdaten zurück, um in Organisationen einzudringen, so Eset. Spacecolon ist demnach seit mindestens Mai 2020 bis heute aktiv.
Besonders betroffen seien Länder der Europäischen Union, beispielsweise Spanien, Frankreich, Belgien, Polen und Ungarn. Ausserhalb der EU werden gemäss Eset vor allem Organisationen in Mexiko und der Türkei zum Ziel.
"Wie die Hackergruppe ihre Opfer auswählt, bleibt nebulös. Weder gibt es Schwerpunktbereiche noch Ähnlichkeiten in der Grösse der Ziele: ein Krankenhaus und ein Ferienort in Thailand, eine Versicherungsgesellschaft in Israel, eine lokale Regierungseinrichtung in Polen, ein Unterhaltungsanbieter in Brasilien, ein Umweltunternehmen in der Türkei und eine Schule in Mexiko", erläutert dazu Eset-Forscher Jakub Souček, Autor der Analyse. Der Programmcode von Spacecolon enthalte viele türkische Zeichenfolgen. Eset geht deshalb davon aus, dass die Entwickler türkischstämmig seien.
Gemäss der Analysse laden die Hacker, nachdem sie einen Webserver kompromittiert haten, zusätzliche Tools auf die Rechner ihrer Opfer herunter und führen sie aus. Dazu gehörten neben Ransomware auch weitere Tools von Drittanbietern: Diese sollen es den Angreifern bei besonders lohnenswerten Zielen ermöglichen, Sicherheitsprodukte zu deaktivieren, kritische Informationen zu extrahieren und sich erweiterten Zugang per Backdoor zu verschaffen.
In manchen Fällen komme zudem eine Ransomware zum Einsatz, die einen Clipbanker einsetzt. Dabei handelt es sich um eine Art von Malware, die den Inhalt der Zwischenablage überwacht. Findet sie Inhalte, bei denen es sich um eine Krypto-Wallet-Adresse handelt, fügt sie eine vom Angreifer kontrollierte Adresse ein.
Die Hackergruppe unternimmt der Analyse zufolge keine nennenswerten Anstrengungen, ihre Malware zu verbergen. Sie hinterlässt zahlreiche Artefakte auf kompromittierten Systemen.
Cosmicbeetle bereite zudem die Verbreitung einer neuen Ransomware-Familie namens ScRansom vor. Eset Research geht davon aus, dass Cosmic Beetle hinter der Entwicklung steht. Diese Ransomware versucht alle Festplatten, Wechseldatenträger und Remote-Laufwerke zu verschlüsseln. Bis jetzt wurde sie allerdings noch nicht in Aktion beobachtet. Eset vermutet deshalb, dass sie sich noch in der Entwicklungsphase befindet.
Weitere technische Informationen zu Spacecolon und Cosmicbeetle finden sich im Blogpost "Skarabäen besiedeln anfällige Server" auf WeLiveSecurity.
