Scarab Ransomware implantado usando o SpaceColon Toolkit

Aug 30, 2023

Gestão de Fraudes e Crimes Cibernéticos, Ransomware

Os hackers estão usando um conjunto de ferramentas que apareceu pela primeira vez em 2020 e aparentemente foi desenvolvido por falantes de turco para implantar o ransomware Scarab, dizem pesquisadores de segurança.

Veja também: Webinar ao vivo | Desmascarando Pegasus: entenda a ameaça e fortaleça sua defesa digital

A empresa de segurança cibernética Eset disse que o kit de ferramentas, apelidado de SpaceColon, consiste em três componentes principais: um downloader, um instalador e um backdoor usado para implantar o Scarab. SpaceColon, assim como o ransomware, é escrito na linguagem de software Delphi. Uma empresa polonesa de segurança cibernética documentou pela primeira vez o conjunto de ferramentas em fevereiro.

Eset apelidou os atores da ameaça por trás do SpaceColon de “CosmicBeetle”. Várias versões do kit de ferramentas “contêm muitas strings em turco; portanto, suspeitamos de um desenvolvedor que fala turco”, escreveu Eset.

A telemetria sugere que o CosmicBeetle compromete os alvos forçando a senha para instâncias de protocolo de desktop remoto ou comprometendo servidores web. A Eset avaliou com “alta confiança” que o grupo de ameaças explora uma vulnerabilidade de 2020 conhecida como ZeroLogon, rastreada como CVE-2020-1472, com base no fato de que os hackers do CosmicBeetle muitas vezes aplicam patches do Windows para corrigir a falha, uma vez que estabelecem acesso a um sistema comprometido.

Os pesquisadores não têm certeza se o CosmicBeetle também abusou de falhas no sistema operacional FortiOS do dispositivo de segurança Fortinet. Eles disseram acreditar que sim “com base no fato de que a grande maioria das vítimas possui dispositivos executando FortiOS em seu ambiente” e no fato de que os componentes do SpaceColon fazem referência à string “Forti” em seu código. “Infelizmente, não temos mais detalhes sobre essa possível exploração de vulnerabilidade além desses artefatos”.

Parece não haver um padrão para as vítimas do CosmicBeetle, que estão distribuídas por todo o mundo. A Eset citou apenas alguns: um hospital e resort turístico tailandês, uma companhia de seguros israelense, uma escola mexicana e uma empresa ambiental na Turquia. “O CosmicBeetle não escolhe seus alvos; em vez disso, ele encontra servidores com atualizações críticas de segurança ausentes e explora isso em seu benefício”, escreveu Eset.

Nem todos os usuários do SpaceColon usaram o downloader e o instalador para implantar o backdoor. Em alguns casos, eles usaram um kit de ferramentas de código aberto chamado Impacket.

Os desenvolvedores do kit de ferramentas também parecem estar se preparando para distribuir um novo ransomware que a Eset apelidou de SCRansom. Algumas amostras já foram enviadas para o VirusTotal da Turquia. Eset disse que os desenvolvedores do SpaceColon e do novo ransomware são os mesmos “com base em strings turcas semelhantes no código, no uso da biblioteca IPWorks e na semelhança geral da GUI”. Até agora, o ransomware não foi detectado na natureza.