Dafür nutzt sie die ZeroLogon-Schwachstelle bei Webservern aus. Alternativ greifen die Hacker auf klassische Bruteforce-Angriffe auf RDP-Zugangsdaten zurück, um in Organisationen einzudringen. Spacecolon ist seit mindestens Mai 2020 bis heute aktiv. Der Programmcode von Spacecolon enthält viele türkische Zeichenfolgen. ESET geht deshalb davon aus, dass die Entwickler türkischstämmig sind. Die Hackergruppe unternimmt keine nennenswerten Anstrengungen, ihre Malware zu verbergen. Sie hinterlässt zahlreiche Artefakte auf kompromittierten Systemen.
ESET konnte die Spur von CosmicBeetle und ihren Werkzeugen weltweit nachverfolgen. Besonders betroffen sind Länder der EU, beispielsweise Spanien, Frankreich, Belgien, Polen und Ungarn. Außerhalb der EU werden vor allem Organisationen in Mexiko und der Türkei zum Ziel. „Wie die Hackergruppe ihre Opfer auswählt, bleibt nebulös. Weder gibt es Schwerpunktbereiche noch Ähnlichkeiten in der Größe der Ziele: ein Krankenhaus und ein Ferienort in Thailand, eine Versicherungsgesellschaft in Israel, eine lokale Regierungseinrichtung in Polen, ein Unterhaltungsanbieter in Brasilien, ein Umweltunternehmen in der Türkei und eine Schule in Mexiko“, sagt ESET Forscher Jakub Soucek.
Nachdem die Hacker einen Webserver kompromittiert haben, laden sie zusätzliche Tools auf die Rechner ihrer Opfer herunter und führen sie aus. Dazu gehören neben Ransomware auch weitere Tools von Drittanbietern: Diese ermöglichen es den Angreifern bei besonders lohnenswerten Zielen, Sicherheitsprodukte zu deaktivieren, kritische Informationen zu extrahieren und sich erweiterten Zugang per Backdoor zu verschaffen.
In manchen Fällen kommt zudem eine Ransomware zum Einsatz, die einen ClipBanker einsetzt. Dabei handelt es sich um eine Art von Malware, die den Inhalt der Zwischenablage überwacht. Findet sie Inhalte, bei denen es sich um eine Krypto-Wallet-Adresse handelt, fügt sie eine vom Angreifer kontrollierte Adresse ein.
CosmicBeetle bereitet zudem die Verbreitung einer neuen Ransomware-Familie namens ScRansom vor. Die Forscher gehen davon aus, dass Cosmic Beetle hinter der Entwicklung steht. Diese Ransomware versucht, alle Festplatten, Wechseldatenträger und Remote-Laufwerke zu verschlüsseln. Bis jetzt wurde sie allerdings noch nicht in Aktion beobachtet.
Der Markt kehrt bereits im vierten Quartal 2023 ins Plus zurück. Trotzdem schrumpfen die Verkaufszahlen…
Laut den aktuellen Zahlen des nordamerikanischen Marktforschungsunternehmens IDC ist die Beliebtheit von Tablets in den…
Wi-Fi 7 als Nachfolger des aktuellen WLAN-Standards steht in den Startlöchern. Er soll den Datendurchsatz…
Eine Schwachstelle erlaubt eine Remotecodeausführung ohne Interaktion mit einem Nutzer. Angreifbar sind alle Android-Versionen inklusive…
Der Branchenumsatz steigt auf 624 Milliarden Dollar. Eine höhere Nachfrage führt in einigen Bereichen auch…
Cybersicherheit ist aktuell wichtiger denn je. Mit der steigenden Anzahl von Online-Transaktionen, sozialen Medien und…