Scarab Ransomware déployé à l'aide de la boîte à outils SpaceColon

Aug 30, 2023

Gestion de la fraude et cybercriminalité, Ransomware

Les pirates utilisent un ensemble d’outils apparus pour la première fois en 2020 et apparemment développés par des turcophones pour déployer le ransomware Scarab, affirment des chercheurs en sécurité.

Voir aussi : Webinaire en direct | Démasquer Pegasus : comprenez la menace et renforcez votre défense numérique

La société de cybersécurité Eset a déclaré que la boîte à outils, baptisée SpaceColon, se compose de trois composants principaux : un téléchargeur, un installateur et une porte dérobée utilisée pour déployer Scarab. SpaceColon, comme le ransomware, est écrit dans le langage logiciel Delphi. Une entreprise polonaise de cybersécurité a documenté pour la première fois cet outil en février.

Eset a surnommé les acteurs menaçants derrière SpaceColon « CosmicBeetle ». Plusieurs versions de la boîte à outils "contiennent beaucoup de chaînes turques ; nous soupçonnons donc un développeur turcophone", a écrit Eset.

La télémétrie suggère que CosmicBeetle compromet les cibles en forçant brutalement le mot de passe vers les instances de protocole de bureau distant ou en compromettant les serveurs Web. Eset a évalué avec « une grande confiance » que le groupe de menaces exploite une vulnérabilité de 2020 connue sous le nom de ZeroLogon, suivie sous le nom de CVE-2020-1472, sur la base du fait que les pirates de CosmicBeetle appliquent souvent des correctifs Windows pour corriger la faille une fois qu'ils ont établi l'accès à un système compromis.

Les chercheurs sont moins sûrs que CosmicBeetle ait également abusé des failles du système d'exploitation de l'appliance de sécurité Fortinet, FortiOS. Ils ont déclaré le croire « sur la base du fait que la grande majorité des victimes ont des appareils exécutant FortiOS dans leur environnement » et du fait que les composants de SpaceColon font référence à la chaîne « Forti » dans leur code. "Malheureusement, nous n'avons pas d'autres détails sur une éventuelle exploitation de vulnérabilité en dehors de ces artefacts."

Il ne semble y avoir aucun modèle parmi les victimes du CosmicBeetle, qui sont réparties à travers le monde. Eset n’en a cité que quelques-uns : un hôpital et un complexe touristique thaïlandais, une compagnie d’assurance israélienne, une école mexicaine et une entreprise environnementale en Turquie. "CosmicBeetle ne choisit pas ses cibles ; il trouve plutôt des serveurs sur lesquels des mises à jour de sécurité critiques sont manquantes et exploite cela à son avantage", a écrit Eset.

Tous les utilisateurs de SpaceColon n'ont pas utilisé le téléchargeur et l'installateur pour déployer la porte dérobée. Dans certains cas, ils ont utilisé une boîte à outils open source appelée Impacket.

Les développeurs de la boîte à outils semblent également se préparer à distribuer un nouveau ransomware qu'Eset a baptisé SCRansom. Certains échantillons ont déjà été téléchargés sur VirusTotal depuis la Turquie. Eset a déclaré que les développeurs de SpaceColon et du nouveau ransomware sont les mêmes "sur la base de chaînes turques similaires dans le code, de l'utilisation de la bibliothèque IPWorks et de la similitude globale de l'interface graphique". Jusqu’à présent, le ransomware n’a pas été repéré dans la nature.