Die Hackergruppe Cosmicbeetle soll weltweit Organisationen angreifen, es dabei aber vor allem auf europäische Firmen abgesehen haben, wie die Sicherheitsexperten von
Eset melden. Dabei verwendet die Gruppe das seit mindestens Mitte Mai 2020 aktive Tool-Set Spacecolon, um Ransomware zu verbreiten und Lösegeld zu erpressen. Für die Verbreitung der Ransomware wird die Zerologon-Schwachstelle bei Webservern ausgenutzt. Nachdem dieser kompromittiert wurde, laden die Angreifer zusätzliche Tools auf die Rechner und führen sie aus. In manchen Fällen kommt zudem eine Ransomware zum Einsatz, die einen Clipbanker einsetzt. Dabei handelt es sich um eine Art von Malware, die den Inhalt der Zwischenablage überwacht. Findet sie Inhalte, bei denen es sich um eine Krypto-Wallet-Adresse handelt, fügt sie eine vom Angreifer kontrollierte Adresse ein. Dabei geben sich die Angreifer generell keine grosse Mühe, ihre Malware zu verbergen. Als Alternative kommen zudem auch klassische Bruteforce-Angriffe auf RDP-Zugangsdaten zum Einsatz.
Und schliesslich glaubt man bei
Eset, dass Cosmicbeetle zudem die Verbreitung einer neuen Ransomware-Familie namens Scransom vorbereitet. Diese Ransomware versucht, alle Festplatten, Wechseldatenträger und Remote-Laufwerke zu verschlüsseln. Bis jetzt wurde sie allerdings noch nicht in Aktion beobachtet.
"Wie die Hackergruppe ihre Opfer auswählt, bleibt nebulös. Weder gibt es Schwerpunktbereiche noch Ähnlichkeiten in der Grösse der Ziele: ein Krankenhaus und ein Ferienort in Thailand, eine Versicherungsgesellschaft in Israel, eine lokale Regierungseinrichtung in Polen, ein Unterhaltungsanbieter in Brasilien, ein Umweltunternehmen in der Türkei und eine Schule in Mexiko", so Eset-Forscher Jakub Souček. Derweil lässt der Programmcode von Spacecolon, der viele türkische Zeichenfolgen enthält, den Verdacht aufkommen, dass die Entwickler türkischstämmig sind.
(abr)
