Skupina CosmicBeetle, známý ransomwarový gang, se zaměřuje na malé a střední firmy (SMBs) v Evropě a Asii, včetně České republiky, pomocí nového ransomwaru ScRansom. Tento nebezpečný škodlivý software využívá staré zranitelnosti v systémech svých obětí a podle analytiků ze společnosti ESET se gang pokouší využít jméno nechvalně proslulého ransomwarového gangu LockBit k tomu, aby útoky působily důvěryhodněji a oběti měly větší motivaci zaplatit výkupné.

Podle nejnovější analýzy ESETu je CosmicBeetle aktivní minimálně od roku 2020, přičemž jméno této skupině přiřadili bezpečnostní analytici v roce 2023. Hlavním nástrojem skupiny je ransomware ScRansom, který útočí především na SMBs a využívá řadu několik let starých zranitelností, které často zůstávají neopravené. CosmicBeetle se navíc podle zjištění snaží využít zveřejněné nástroje ransomwarového gangu LockBit, aby podpořil úspěšnost svých útoků. „Skupina CosmicBeetle se zjevně snaží využít reputace gangu LockBit. Může to být pokus zamaskovat problémy ve vlastním kódu a zvýšit pravděpodobnost, že oběti zaplatí výkupné,“ vysvětluje Jakub Souček, bezpečnostní expert společnosti ESET.

Ransomware zašifruje data oběti. Útočníci žádají výkupné. Foto: Freepik

LockBit, kdysi velmi aktivní na ransomware scéně, byl výrazně oslaben díky operaci Cronos z února 2024, která cílila na tento gang. CosmicBeetle využívá právě toto vakuum a snaží se přiživit na reputaci LockBitu, aby své útoky učinil přesvědčivějšími. Souček rovněž upozorňuje, že CosmicBeetle experimentuje s různými škodlivými kódy. „Nedávno jsme zaznamenali nasazení dvou různých ransomwarových vzorků na stejném zařízení – ScRansom a ransomware obvykle využívaný gangem RansomHub.“

Ransomware jako služba

Dalším důležitým poznatkem je možné propojení CosmicBeetle s gangem RansomHub. RansomHub funguje od března 2024 jako tzv. „ransomware-as-a-service“ (RaaS), což znamená, že různé skupiny mohou pronajímat jeho škodlivý kód a používat ho při svých útocích. Vzhledem k tomu, že mezi útoky RansomHub a CosmicBeetle existují určité podobnosti, analytici ESETu nevylučují, že se CosmicBeetle stal partnerem této skupiny.

Tento model spolupráce umožňuje útočníkům efektivněji šířit škodlivý kód a útočit na lukrativní cíle, zatímco CosmicBeetle může zůstat relativně neznámý a zároveň využívat výhod spojených s využitím jména zavedenějších skupin.

Zaplatit výkupné je k ničemu. CosmicBeetle má nespolehlivé dešifrování

Ransomware ScRansom, i přes svou relativní jednoduchost, dokáže způsobit velké škody. Kromě šifrování souborů dokáže zastavit i klíčové procesy na napadeném zařízení, čímž ještě více komplikuje fungování postižené organizace. Bezpečnostní analytici však upozorňují, že CosmicBeetle nemá spolehlivý dešifrovací proces, což znamená, že i když oběti zaplatí výkupné, nemusejí svá data úspěšně obnovit. „ScRansom není pokročilý ransomware, ale způsobuje škody kvůli tomu, jak špatně funguje jeho dešifrovací mechanismus,“ říká Souček. „Útočníci často nejsou schopni poskytnout funkční dešifrovací klíče, což ohrožuje oběti, i když se rozhodnou zaplatit.“

Česko je častým terčem útoků ruských hackerů a kyberaktivistů. Vzhledem k podpoře Ukrajiny však s jejich brzkým koncem počítat nemůžeme. Důležitá je prevence a školení zaměstnanců i veřejnosti. Foto: Freepik

Souček rovněž zdůrazňuje, že nejlepším způsobem, jak se bránit proti útokům ransomwaru, je prevence. „Cílem útočníků je finanční zisk a oběti, zejména malé a střední firmy, často nemají dostatečnou úroveň ochrany, což z nich činí snadné cíle,“ upozorňuje Souček. Podle jeho slov firmy často podceňují důležitost pravidelných aktualizací a správy bezpečnostních záplat, což zvyšuje jejich zranitelnost vůči těmto útokům.

Ransomwarové útoky zůstávají jednou z největších hrozeb na poli kybernetické bezpečnosti. CosmicBeetle se zaměřuje na firmy a organizace v širokém spektru odvětví, od výroby až po územní orgány státní správy. Je proto klíčové, aby malé a střední firmy zavedly robustní opatření na ochranu svých systémů a minimalizovaly riziko kompromitace.

Zdroj: TZ ESET