Desde el grupo de investigación de ESET, la empresa de ciberseguridad, aseguran que en su última oleada de ataques, CosmicBeetle ha estado utilizando un malware personalizado. Se le ha apodado como ScRansom, y se sospecha que están actuando en cooperación con otro conocido grupo cibercriminal, RansomHub, grupo activo desde marzo de 2024.
Jakub Souček, investigador de ESET, apunta a esta posible unión entre ambos grupos cibercriminales basándose en que «hace poco observamos el despliegue de varias muestras de ScRansom y RansomHub en la misma máquina con solo una semana de diferencia. Esta ejecución de RansomHub fue muy inusual en comparación con los casos típicos que hemos visto en la telemetría de ESET, pero bastante similar al modus operandi de CosmicBeetle».
CosmicBeetle también ha estado usando una herramienta del grupo cibercriminal Lockbit, en concreto, su constructor filtrado, que sirve para generar nuevas variantes de malware.
«Probablemente debido a los obstáculos que supone escribir un ransomware personalizado desde cero, CosmicBeetle intentó aprovecharse de la reputación de LockBit, posiblemente para enmascarar los problemas subyacentes de su ransomware y, a su vez, aumentar las posibilidades de que las víctimas pagaran», explica el investigador. Así, usando la herramienta de LockBit, los de CosmicBeetle pudieron salvar algunos problemas que conlleva crear software malicioso desde cero, y darle una apariencia más sofisticad a sus ataques.
En la siguiente imagen, puede verse un mapa de calor de los ataques realizados por CosmicBeetle desde agosto de 2023, según la telemetría de ESET.
Además de España, también se han visto afectados otros países de Europa, y algunos puntos de América del Sur y África. En general, se han detectado ataques a pymes de los sectores industrial, farmacéutico, legal, educación, sanidad, tecnología, ocio hostelero, servicios financieros y gubernamental. El grupo CosmicBeetle fue descubierto en 2023, pero se cree que lleva en activo desde el año 2020.
ScRansom logra causar daños
ScRansom no es un ransomware muy sofisticado, pero CosmicBeetle ha sido capaz de comprometer objetivos de interés y causarles un gran daño, según ESET. Se nota que CosmicBeetle es un actor poco experimentado en el mundo del ransomware, ya que son muchos los problemas que se pueden encontrar en su código.
Es por eso que, argumentan, las víctimas de secuestro de datos por parte de este grupo criminal deberían ser cautelosos a la hora de decidirse a pagar, ya que aunque el descifrador en sí funciona, a menudo se requieren múltiples claves de descifrado y algunos archivos pueden perderse de forma permanente, dependiendo de cómo procedió CosmicBeetle durante el cifrado. Es decir, que es posible que, pese a pagar la cantidad exigida, ni siquiera sea posible recuperar todos los archivos de la empresa.