All Stories
Follow
Subscribe to ESET Deutschland GmbH

ESET Deutschland GmbH

Hackergruppe verbreitet Ransomware in Europa

Jena (ots)

Die Hackergruppe CosmicBeetle greift weltweit Organisationen an, vor allem europäische. Die Gruppe verwendet das Toolset Spacecolon, um Ransomware unter ihren Opfern zu verbreiten und Lösegeld zu erpressen. Dafür nutzt sie die ZeroLogon-Schwachstelle bei Webservern aus. Alternativ greifen die Hacker auf klassische Bruteforce-Angriffe auf RDP-Zugangsdaten zurück, um in Organisationen einzudringen. Spacecolon ist seit mindestens Mai 2020 bis heute aktiv.

CosmicBeetle agiert global

ESET konnte die Spur von CosmicBeetle und ihren Werkzeugen weltweit nachverfolgen. Besonders betroffen sind Länder der Europäischen Union, beispielsweise Spanien, Frankreich, Belgien, Polen und Ungarn. Außerhalb der EU werden vor allem Organisationen in Mexiko und der Türkei zum Ziel.

"Wie die Hackergruppe ihre Opfer auswählt, bleibt nebulös. Weder gibt es Schwerpunktbereiche noch Ähnlichkeiten in der Größe der Ziele: ein Krankenhaus und ein Ferienort in Thailand, eine Versicherungsgesellschaft in Israel, eine lokale Regierungseinrichtung in Polen, ein Unterhaltungsanbieter in Brasilien, ein Umweltunternehmen in der Türkei und eine Schule in Mexiko", sagt ESET Forscher Jakub Soucek, Autor der Analyse.

Der Programmcode von Spacecolon enthält viele türkische Zeichenfolgen. ESET geht deshalb davon aus, dass die Entwickler türkischstämmig sind.

Wie geht CosmicBeetle vor?

Nachdem die Hacker einen Webserver kompromittiert haben, laden sie zusätzliche Tools auf die Rechner ihrer Opfer herunter und führen sie aus. Dazu gehören neben Ransomware auch weitere Tools von Drittanbietern: Diese ermöglichen es den Angreifern bei besonders lohnenswerten Zielen, Sicherheitsprodukte zu deaktivieren, kritische Informationen zu extrahieren und sich erweiterten Zugang per Backdoor zu verschaffen.

In manchen Fällen kommt zudem eine Ransomware zum Einsatz, die einen ClipBanker einsetzt. Dabei handelt es sich um eine Art von Malware, die den Inhalt der Zwischenablage überwacht. Findet sie Inhalte, bei denen es sich um eine Krypto-Wallet-Adresse handelt, fügt sie eine vom Angreifer kontrollierte Adresse ein.

Die Hackergruppe unternimmt keine nennenswerten Anstrengungen, ihre Malware zu verbergen. Sie hinterlässt zahlreiche Artefakte auf kompromittierten Systemen.

Neue Ransomware ist in Arbeit

CosmicBeetle bereitet zudem die Verbreitung einer neuen Ransomware-Familie namens ScRansom vor. ESET Research geht davon aus, dass Cosmic Beetle hinter der Entwicklung steht. Diese Ransomware versucht, alle Festplatten, Wechseldatenträger und Remote-Laufwerke zu verschlüsseln. Bis jetzt wurde sie allerdings noch nicht in Aktion beobachtet. ESET vermutet deshalb, dass sie sich noch in der Entwicklungsphase befindet.

Weitere technische Informationen zu Spacecolon und CosmicBeetle finden Sie in dem Blogpost "Skarabäen besiedeln anfällige Server" auf WeliveSecurity.

Pressekontakt:

ESET Deutschland GmbH

Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
christian.lueg@eset.de

Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
Michael.klatte@eset.de

Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
Philipp.plum@eset.de


Folgen Sie ESET:
http://www.ESET.de

ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland

Original content of: ESET Deutschland GmbH, transmitted by news aktuell

More stories: ESET Deutschland GmbH
More stories: ESET Deutschland GmbH
  • 17.08.2023 – 11:35

    ESET deckt laufende Phishing-Kampagne auf

    Jena (ots) - KMUs sowie Regierungsbehörden stehen derzeit im Fokus einer Phishing-Kampagne. ESET Forscher haben entdeckt, dass Nutzer der Software Zimbra betroffen sind. Zimbra ist ein sogenanntes Collaboration-Tool mit denen E-Mails, Kontakte, Kalender und Aufgabenlisten verwaltet werden können. Die Angreifer haben es gezielt auf Anmeldedaten für die Software abgesehen. Die Kampagne ist seit mindestens April 2023 ...

  • 11.07.2023 – 11:40

    ESET Threat Report H1 2023: Die Spielregeln der Cyberkriminellen ändern sich

    Jena (ots) - Office-Makros waren über viele Jahre eine der größten Cyberbedrohungen. Nachdem Microsoft die Regeln hierfür geändert hatte, haben OneNote-Anhänge als Malware-Schleuder die Nachfolge angetreten. Das ist ein Ergebnis der neuesten Ausgabe des ESET Threat Report H1 2023. Darüber hinaus haben die ESET Forscher im Zeitraum von Dezember 2022 bis Mai ...