Kybernetická bezpečnost

CosmicBeetle: Ransomwarový gang ohrožující malé a střední firmy

7 min. čtení

Bezpečnostní analytici společnosti ESET popsali chování nového ransomwaru ScRansom, který pro své útoky vyvinul ransomwarový gang CosmicBeetle. Cílem této skupiny jsou především malé a střední firmy v Asii a v Evropě, a to i v České republice. Své oběti gang napadá prostřednictvím zranitelností a experimentuje také s uniklým nástroji, pod kterými je podepsaný nechvalně proslulý ransomwarový gang LockBit. Podle expertů je navíc možné, že se CosmicBeetle stal v nedávné době partnerem ransomwarového gangu RansomHub.

V nejnovější analýze se bezpečnostní experti zaměřili na nedávné aktivity ransomwarové skupiny CosmicBeetle a zdokumentovali nasazení jejího nového ransomwaru ScRansom. CosmicBeetle cílí na malé a střední podniky a organizace v Asii a v Evropě. Stopy útoků vedou přitom i do České republiky – mezi oběťmi byly například výrobní firmy nebo územní orgány státní správy.

„Ransomware je jednou z největších crimeware hrozeb nejen ve světě, ale i v Česku, kde jsou dlouhodobě nejohroženějšími oblastmi zdravotnictví, školství a veřejná správa. Cílem těchto útoků je již tradičně finanční zisk. Z povahy věci tak velké a sofistikované gangy útočí především na velké organizace, malé a střední podniky jsou naopak zajímavými cíli pro menší a méně zkušené gangy. Menší podniky totiž většinou nedisponují robustní ochranou a procesy pravidelných bezpečnostních aktualizací, které by je mohly před těmito útoky účinně ochránit,“ říká Jakub Souček z pražské výzkumné pobočky společnosti ESET.


Skupina CosmicBeetle je aktivní minimálně od roku 2020 a název ji experti z ESETu přiřadili po jejím objevení v roce 2023. Ransomwarová skupina je nejvíce známá používáním své vlastní sbírky nástrojů psaných v jazyce Delphi, souhrnně nazývaných Spacecolon. K prolomení obrany systémů svých obětí často používá tzv. útoky hrubou silou a mimo to zneužívá také řadu známých zranitelností.

Ransomwarový gang těží z úspěchu skupiny Lockbit

Hackeři z CosmicBeetle využívají zveřejněný builder nechvalně proslulého ransomwarového gangu LockBit. K zásadnímu narušení provozu skupiny LockBit přitom přispěla několikaměsíční mezinárodní operace Cronos pod vedením britské NCA. CosmicBeetle se tak podle všeho snaží „přiživit“ na reputaci tohoto aktéra a využít jeho značku ve svých útocích. Je také pravděpodobné, že CosmicBeetle je novým partnerem gangu RansomHub, který funguje jako tzv. rasnomware-as-a-service. RansomHub je aktivní od letošního března a velmi rychle se vyšplhal mezi nejvýraznější aktéry na mezinárodní ransomwarové scéně.

Snaha zaštítit se silnými partnery je podle expertů přirozená, protože napsat od nuly vlastní ransomwarový kód může přinášet řadu překážek. V případě CosmicBeetle za tím může být i snaha zakrýt nějaké problémy v základním kódu a zvýšit zároveň šanci na to, že oběti výkupné zaplatí.

Propojení gangů CosmicBeetle a RansomHub

O propojení s jinými hráči na ransomwarové scéně svědčí také další informace. Bezpečnostní experti zpozorovali nasazení dvou různých vzorků škodlivého kódu na stejném zařízení, a to s odstupem jen jednoho týdne. Jednalo se o ScRansom a ransomware, který typicky využívá gang RansomHub. Zároveň našli několik shodných charakteristik s chováním skupiny CosmicBeetle. V případě gangu RansomHub nejsou aktuálně evidovány žádné úniky kódů na veřejnost. Je zde tak určitá možnost, že skupina CosmicBeetle opravdu byla v nedávné době partnerem útočníků z RansomHub.

Mezi nejčastější oběti hackerů z CosmicBeetle patří podniky a organizace z různých odvětví po celém světě:

  • Výroba
  • Farmacie
  • Právní služby
  • Vzdělávání
  • Zdravotnictví
  • Technologie
  • Pohostinství
  • Finanční služby
  • Územní orgány státní správy

3 kroky, kterými mohou firmy chránit svá data

Kromě zašifrování souborů může ransomware ScRansom zastavit také různé procesy a služby na postiženém zařízení. ScRansom není příliš pokročilý malware, přesto se skupině CosmicBeetle podařilo napadnout významné cíle a způsobit jim velké škody. Doporučením je tak investovat čas a prostředky do prevence, díky které včas ochráníte svá firemní data a minimalizujete následky podobných útoků:

  1. Data vždy zálohujte. Všichni zaměstnanci by měli vědět, jak zálohovat své dokumenty a jaká online a offline úložiště mají používat k bezpečnému ukládání pracovních souborů.
  2. Co nejvíce se vzdělávejte, a to kontinuálně. Mějte povědomí o běžných kybernetických hrozbách, se kterými se můžete setkat, a naučte se na ně reagovat. Je vhodné se také seznámit s firemní politikou a krizovým plánem, abyste byli připraveni v případě incidentu jednat.
  3. Zvolte spolehlivé bezpečnostní řešení. Bezpečnostní software dokáže chránit zařízení před ransomwarem a celou řadou dalších kybernetických rizik.

Příručka Ransomware

Objevte efektivní strategie a bezpečnostní opatření k ochraně vašeho podnikání před útoky ransomwarem.

ZÍSKAT PŘÍRUČKU