CosmicBeetle, noto anche come NoName, è un gruppo ransomware che ha guadagnato notorietà negli ultimi anni per le sue attività di attacco mirate contro piccole e medie imprese (PMI) globali. Questo articolo esplora il profilo di CosmicBeetle, le sue strategie di attacco e fornisce consigli per prevenire e mitigare le minacce di questo tipo di malware.
Chi è CosmicBeetle?
CosmicBeetle è un gruppo ransomware attivo dal 2020, ma le sue attività hanno avuto un significativo aumento nel 2023. Nonostante il nome “NoName”, il gruppo non deve essere confuso con un altro gruppo hacker con lo stesso nome, NoName057(16), che è un gruppo di hacktivisti pro-russi.
Tattiche di Attacco
CosmicBeetle utilizza diverse tattiche per infiltrarsi nelle reti delle PMI. Alcune delle principali strategie includono:
- Brute Force Attacks: Il gruppo utilizza attacchi di brute force per accedere alle reti delle vittime, sfruttando vulnerabilità come EternalBlue (CVE-2017-0144) e Zerologon (CVE-2020-1472).
- Exploiting Vulnerabilità: CosmicBeetle sfrutta vulnerabilità note per ottenere credenziali utente e accedere alle reti.
- Impersonazione di LockBit: Il gruppo ha cercato di capitalizzare sulla reputazione di LockBit creando un sito di dati rubati (DLS) chiamato “NONAME” che riproduce il tema e i messaggi di riscatto di LockBit.
Impostazione del Sito di Dati Rubati
CosmicBeetle ha creato un sito di dati rubati chiamato “NONAME” che mira a creare un senso di urgenza tra le vittime, costringendole a pagare il riscatto. Il sito è stato progettato per replicare il design e lo stile dei messaggi di riscatto di LockBit, inclusi i codici di lavoro (Work ID) nelle note di riscatto.
Utilizzo di Strumenti di Ransomware
Il gruppo utilizza strumenti di ransomware personalizzati come ScRansom per criptare i file delle vittime. Questi strumenti proteggono le chiavi pubbliche RSA con l’encryption per evitare che vengano decrittate.
Consigli per la Prevenzione
Per prevenire le attacchi di CosmicBeetle, è importante adottare una serie di misure di sicurezza:
- Multi-Factor Authentication: Richiedere l’uso della multi-factor authentication per proteggere le credenziali utente.
- Monitoraggio delle Attività: Monitorare costantemente le attività sulle reti per rilevare eventuali accessi anomali.
- Aggiornamenti di Sicurezza: Assicurarsi che tutti i sistemi siano aggiornati con gli ultimi patch di sicurezza.
- Formazione degli Utenti: Formare gli utenti sulla riconoscimento di phishing e sulla sicurezza online.
- Backup dei Dati: Eseguire regolarmente backup dei dati importanti in un luogo sicuro.
Mitigazione delle Minacce
Se un’organizzazione è stata già colpita da CosmicBeetle, è importante agire rapidamente per mitigare le conseguenze:
- Riavvio dei Sistemi: Riavviare i sistemi colpiti per fermare la propagazione del malware.
- Recupero dei Dati: Tentare di recuperare i dati criptati utilizzando strumenti di recupero dei dati.
- Notifica delle Autorità: Notificare le autorità competenti e i clienti delle vittime per informarli sulla situazione.
CosmicBeetle rappresenta una minaccia significativa per le PMI globali, utilizzando tattiche di attacco sofisticate e personalizzate. La prevenzione e la mitigazione delle minacce di questo tipo di malware richiedono una combinazione di misure di sicurezza proattive e reattive. Gli utenti devono essere consapevoli delle tattiche utilizzate da CosmicBeetle e adottare strategie di sicurezza efficaci per proteggere le proprie reti e dati.
Fonte: https://socradar.io/dark-web-profile-cosmicbeetle-noname-ransomware
