Les chercheurs d’ESET ont récemment mis en lumière les activités du groupe de hackers CosmicBeetle, qui a développé un nouveau ransomware nommé ScRansom. Ce groupe, actif depuis au moins 2020, cible principalement des petites et moyennes entreprises (PME) en Europe, notamment en France, ainsi qu’en Asie.

Les TPE et les PME sont le talon d’Achille de la cybersécurité des plus grandes entreprises. Les cybercriminels le savent bien et les ciblent de plus en plus parce qu’elles sont insuffisamment protégées et n’ont souvent pas d’équipes spécialisées à même d’assurer une réponse rapide et de garantir leur cyber-résilience.

Contrairement à ce que supposent certains, les ransomwares sont toujours aussi actifs. Une récente étude de Searchlight Cyber montrait une augmentation de 56% des groupes de ransomware au premier semestre 2024. Ainsi 50 nouveaux groupes de hackers déployant des ransomwares ont vu le jour ces derniers mois, même si l’Unit 42 de Palo alto Networks estime que 6 groupes sont responsables de plus de 50% des attaques depuis le début de l’année.

Et ESET vient de mettre à jour les activités d’un nouveau groupe dénommé CosmicBeetle. Selon l’éditeur, ces hackers utilisaient jusqu’ici des vulnérabilités anciennes pour pénétrer les systèmes des entreprises et s’appuyaient essentiellement sur des outils malveillants issus de LockBit.

Mais il a récemment développé son propre rançongiciel dénommé ScRansom et pourrait être affilié à RansomHub, un nouveau groupe émergeant spécialisé dans le « ransomware-as-a-service » qui sévit depuis mars 2024.

Avec ce ransomware, CosmicBeetle cible des secteurs variés, allant de la fabrication à la santé en passant par les services financiers. ESET a détecté la menace en Europe et notamment en France.

Un ransomware des plus tordus

L’une des particularités de ce ransomware est le processus de décryptage complexe qui l’accompagne. Ce qui en fait un des ransomwares les plus coûteux et les plus chronophages si les entreprises se retrouvent en position de devoir impérativement payer la rançon. En effet, l’outil de déchiffrement fourni par les hackers utilise un identifiant de déchiffrement différent sur chaque machine infectée. Si les victimes décident de payer la rançon, elles doivent collecter tous les identifiants de déchiffrement de toutes les machines infectées par ScRansom, obtenir une clé de déchiffrement pour chacune d’elles, puis exécuter manuellement le déchiffreur sur chaque machine chiffrée, en entrant la bonne clé de protection (en réalité souvent en essayant toutes celles fournies), cliquer sur le bouton de déchiffrement et attendre la fin du processus de déchiffrement. Le problème est d’autant plus compliqué, que suite à un bug, ScRansom peut s’exécuter plusieurs fois sur une même machine avec des clés de chiffrement différentes.
En outre, ESET révèle que même en payant la rançon et en obtenant de multiples clés, certaines victimes n’ont jamais réussi à récupérer l’intégralité de leurs fichiers !

Selon ESET, ScRansom présente des risques élevés pour les victimes et se révèle en constante évolution, ce qui n’est jamais bon signe dans l’univers des ransomwares. L’éditeur attire l’attention sur le fait que même en cas de paiement, la restauration des fichiers est aléatoire, certains étant irrémédiablement perdus.

 

À lire également :

Ransomwares : La menace omniprésente du cyber-chaos fait pression sur les organisations

Dans la tête d’un hacker ransomware en 2024

L’évolution des ransomwares : une menace croissante…

Ransomwares : un milliard de dollars disponibles pour l’innovation criminelle

Ransomwares : les entreprises peuvent-elles gagner la bataille ?

Ransomware, autopsie d’une menace qui déstabilise…

Eset constate une activité intense des groupes de cybercriminels