O grupo de cibercriminosos conhecido como CosmicBeetle lançou uma nova variante de ransomware chamada ScRansom, que tem como alvo pequenas e médias empresas em várias regiões, incluindo Europa, Ásia, África e América do Sul. Essa nova cepa substituiu o ransomware anterior do grupo, o Scarab, e continua a ser aprimorada, conforme detalhado em uma análise recente do pesquisador Jakub Souček. Além disso, o grupo parece estar atuando como afiliado do RansomHub, um conhecido grupo de ransomware.

As vítimas dos ataques de ScRansom abrangem diversos setores, incluindo manufatura, farmacêutico, jurídico, educação, saúde, tecnologia, hospitalidade, serviços financeiros e governos regionais. O CosmicBeetle é famoso por utilizar ferramentas maliciosas como o Spacecolon, anteriormente usadas para distribuir o ransomware Scarab em organizações ao redor do mundo. Embora a origem do grupo ainda seja incerta, acredita-se que o CosmicBeetle tenha usado uma combinação de ataques de força bruta e exploração de vulnerabilidades conhecidas, como as falhas CVE-2017-0144, CVE-2020-1472 e CVE-2023-27532, para se infiltrar nos sistemas-alvo.

Uma vez dentro do ambiente da vítima, o grupo usa ferramentas como Reaper, Darkside e RealBlindingEDR para desativar processos de segurança antes de implantar o ransomware ScRansom. Especialistas em segurança têm observado uma tendência contínua de grupos de ransomware experimentando diferentes métodos para desativar soluções de EDR, seja por meio de drivers vulneráveis ou do uso de certificados comprometidos.

A contínua experimentação reflete o esforço das gangues de ransomware para melhorar suas técnicas de evasão e garantir que suas operações permaneçam eficazes, mesmo diante de avanços na detecção de ameaças.