Ransomware : un ancien indépendant de LockBit passé chez RansomHub

CosmicBeetle, c’est ainsi que les équipes d’Eset désignent un acteur malveillant qui compterait potentiellement parmi les affidés de la florissante enseigne RansomHub. 

Cet acteur serait actif depuis au moins 2020. Les équipes d’Eset l’ont identifié en 2023. Il est notamment « connu pour l'utilisation de sa collection d'outils Delphi personnalisés, communément appelés Spacecolon, qui comprend ScHackTool, ScInstaller, ScService et ScPatcher ». 

Dans le courant de l’année dernière est apparu « un nouveau ransomware personnalisé nommé ScRansom est apparu », attribué par Eset avec une confiance élevée, à CosmicBeetle et « remplaçant le ransomware Scarab utilisé précédemment ».

ScRansom a notamment été observé dans des cyberattaques touchant des PME, principalement en Asie et en Europe. Las, « bien que l’outil de déchiffrement fonctionne comme prév, plusieurs clés sont souvent nécessaires et certains fichiers peuvent être définitivement perdus ».

Mais CosmicBeetle aurait aussi compté parmi les indépendants utilisant le builder de LockBit 3.0 ayant échappé à la franchise en septembre 2022 : « en exploitant le nom de la marque LockBit, CosmicBeetle espérait mieux convaincre les victimes de payer. CosmicBeetle a également utilisé le builder LockBit Black divulgué pour créer ses échantillons personnalisés avec une note de rançon en turc ».

Ses traces seraient à chercher derrière l’enseigne NoName et une vitrine copiant celle de LockBi 3.0.

Et puis, récemment, les équipes d’Eset ont été amenées à enquêter sur « un cas intéressant qui [les] a conduites à penser que CosmicBeetle pourrait être un affidé de RansomHub ».

Cette enseigne apparue début 2024 semble avoir réussi à attirer un nombre significatif d’affidés, se traduisant par une explosion de son activité observable en juillet et août.

Pour Check Point, RansomHub tient actuellement la première marche du podium des enseignes de ransomware : « cette opération de Ransomware-as-a-Service (RaaS) a ciblé de manière agressive des systèmes sous Windows, macOS, Linux, et en particulier les environnements VMware ESXi, en utilisant des techniques de chiffrement sophistiquées ».