Análisis de Spacecolon, una variante del ransomware Scarab

ESET Research ha publicado un análisis sobre un conjunto de herramientas llamado “Spacecolon” y los operadores detrás de él, conocidos como “CosmicBeetle”. El análisis revela que Spacecolon es utilizado para desplegar variantes del ransomware Scarab en víctimas de todo el mundo. El conjunto de herramientas proporciona acceso a los atacantes para comprometer servidores y sistemas.

Incidentes relacionados con Spacecolon

La empresa de ciberseguridad ha rastreado los orígenes de Spacecolon al menos hasta mayo de 2020. Las campañas relacionadas con este conjunto de herramientas continúan en curso. Según la telemetría proporcionada por ESET, los incidentes relacionados con Spacecolon se han registrado en todo el mundo, siendo especialmente destacados en países de la Unión Europea como España, Francia, Bélgica, Polonia y Hungría. Asimismo, se han detectado numerosos casos en Turquía y México.

Lo que es más preocupante es que parece que CosmicBeetle está en proceso de desarrollar un nuevo ransomware denominado ScRansom. Además de instalar el ransomware, Spacecolon ofrece una serie de herramientas de terceros que permiten a los atacantes desactivar productos de seguridad, robar información confidencial y obtener un mayor acceso a los sistemas comprometidos.

Los incidentes relacionados con Spacecolon se han identificado en todo el mundo, con una alta prevalencia en países de la Unión Europea como España, Francia, Bélgica, Polonia y Hungría. Además, se han detectado casos en Turquía y México.

¿Cómo funciona Spacecolon?

Los operadores de CosmicBeetle emplean Spacecolon para acceder a sistemas y desplegar ransomware con el objetivo de obtener beneficios económicos. Utilizan diversas tácticas, como la explotación de servidores web vulnerables y credenciales RDP débiles, para comprometer sistemas y luego ofrecen una variedad de herramientas para desactivar seguridad, robar información y obtener acceso adicional.

Las tácticas de CosmicBeetle implican probablemente la explotación de servidores web vulnerables a la vulnerabilidad ZeroLogon o a través de credenciales RDP débiles. Además, Spacecolon puede proporcionar una puerta trasera para que los operadores accedan a los sistemas comprometidos. Notablemente, CosmicBeetle no se esfuerza en ocultar su malware y deja múltiples rastros en los sistemas afectados.

Una vez que CosmicBeetle compromete un servidor web vulnerable, implementa ScHackTool, el componente principal de Spacecolon. Este componente se basa en una interfaz gráfica de usuario y en la participación activa de los operadores, lo que les permite orquestar el ataque. Pueden descargar y ejecutar herramientas adicionales en la máquina afectada según sea necesario. En caso de que el objetivo sea valioso, CosmicBeetle puede desplegar ScInstaller y utilizarlo, por ejemplo, para instalar ScService, que proporciona un mayor acceso remoto.

La carga final que CosmicBeetle despliega es una variante del ransomware Scarab. Esta variante incorpora internamente un ClipBanker, que es un tipo de malware diseñado para supervisar el contenido del portapapeles y modificar cualquier contenido que pueda parecer una dirección de billetera de criptomoneda, redirigiéndolo a una dirección controlada por el atacante.

Nueva familia Ransomware

Además, se ha identificado el desarrollo de una nueva familia de ransomware con muestras cargadas en VirusTotal desde Turquía. ESET Research está altamente convencido de que esta nueva familia, llamada ScRansom, es obra de los mismos desarrolladores que están detrás de Spacecolon. Aunque no se ha observado una distribución masiva de este ransomware, parece estar aún en proceso de desarrollo.