Spacecolon сприяє поширенню шифрувальників Scarab, що маскують викрадення даних

Фахівці з інформаційної безпеки Eset виявили набір шкідливих інструментів Spacecolon, який використовується для поширення програм-вимагачів Scarab у всьому світі. Ймовірно, загроза проникає в організації через компрометацію уразливих вебсерверів або через підбір облікових даних до віддаленого робочого столу (RDP). Спеціалістам вдалося відстежити походження Spacecolon принаймні до травня 2020 року, і він залишається активним до сьогодні.

Відповідно до даних телеметрії Eset, атаки Spacecolon зафіксовані в різних частинах світу з високим рівнем поширення в країнах Європейського Союзу, таких як Іспанія, Франція, Бельгія, Польща та Угорщина, а також у Туреччині та Мексиці. Крім цього, кіберзлочинці розроблюють нову програму-вимагач – ScRansom. Після встановлення програм-вимагачів Spacecolon має широкий вибір сторонніх інструментів, які дозволяють зловмисникам вимикати продукти з безпеки, перехоплювати конфіденційну інформацію та отримувати подальший доступ.

Кіберзлочинці, ймовірно, компрометують вебсервери з уразливістю ZeroLogon або з обліковими даними RDP, які можна зламати методом підбору паролів. Крім того, Spacecolon може забезпечити доступ за допомогою бекдора для зловмисників. Останні не докладають багато зусиль, щоб приховати своє шкідливе програмне забезпечення, і залишають багато слідів в інфікованих системах.

Після компрометації уразливого вебсервера кіберзлочинці розгортають ScHackTool. Цей основний компонент дозволяє хакерам управляти атакою, завантажуючи та запускаючи додаткові інструменти на пристрої. Якщо ціль вважається цікавою, зловмисники можуть розгорнути інші інструменти, які забезпечують подальший віддалений доступ.

Останньою розгортається версія програми-вимагача Scarab. Цей варіант може внутрішньо розгортати ClipBanker, шкідливе програмне забезпечення для відстеження та зміни вмісту буфера обміну, який може бути адресою гаманця криптовалюти, на адресу зловмисників.

Крім цього, наразі розробляється нове сімейство програм-вимагачів ScRansom, зразки яких були завантажені на VirusTotal. Дослідники Eset з великою впевненістю вважають, що це шкідливе програмне забезпечення написали ті ж розробники, що й Spacecolon. ScRansom намагається зашифрувати всі жорсткі, змінні та віддалені диски. Втім спеціалісти поки не фіксували розгортання цього шкідливого ПЗ в реальному середовищі, тож ймовірно, воно все ще перебуває на стадії розробки.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365