Logo Tiskovec.cz Tiskovec.cz
Zveřejnit tiskovku
ESET··8 min

ESET zmapoval nejnovější aktivity ransomwarového gangu CosmicBeetle, který útočil na organizace a firmy v Česku

ESET

ESET

ESET spol. s r.o. je slovenská softwarová firma, která se specializuje na kybernetickou bezpečnost. ESET vyvíjí a poskytuje bezpečnostní software ve více než 200 zemích světa. Společnost vznikla formálně v roce 1992 v Bratislavě v Československu, nicméně první antivirový program vyvinuli její později spoluzakladatelé Miroslav Trnka a Peter Paško již v roce 1987. V současnosti je ESET pravidelně oceňován jako nejúspěšnější slovenská firma roku.

Tisková zpráva

Bezpečnostní analytici společnosti ESET popsali chování nového ransomwaru ScRansom, který pro své útoky vyvinula skupina CosmicBeetle. Cílem tohoto ransomwarového gangu jsou především malé a střední firmy v Asii a v Evropě, včetně České republiky. Své oběti napadá prostřednictvím několik let starých zranitelností v jejich systémech. Podle zjištění společnosti ESET skupina experimentuje s uniklým nástroji nechvalně proslulé kyberkriminální skupiny LockBit a využívá její známé jméno k tomu, aby útoky vypadaly přesvědčivěji a přiměla oběti zaplatit výkupné. Podle expertů je také možné, že se skupina CosmicBeetle stala v nedávné době partnerem ransomwarového gangu RansomHub, který na ransomwarové scéně působí od března 2024 a patří k nejaktivnějším útočníkům současnosti. Bezpečnostní experti před útoky gangu CosmicBeetle varují, protože jeho nespolehlivé procesy zašifrování a dešifrování nemusí vždy vést k úspěšné obnově souborů po útoku.

Bezpečnostní experti z ESETu popsali v nové analýze nedávné aktivity ransomwarového gangu CosmicBeetle, zdokumentovali nasazení jeho nového ransomwaru ScRansom a objevili jeho propojení s dalšími dlouhodobě aktivními ransomwarovými gangy. Skupina CosmicBeetle cílí na malé a střední firmy (SMBs) v Asii a v Evropě. Stopy útoků vedou i do České republiky, kde mezi jejími oběťmi byly například firmy z oblasti výroby nebo územní orgány státní správy.

„Ransomware je jednou z největších crimeware hrozeb nejen ve světě, ale i v Česku, kde jsou dlouhodobě nejohroženějšími oblastmi zdravotnictví, školství a veřejná správa. Cílem těchto útoků je již tradičně finanční zisk. Z povahy věci tak velké a sofistikované gangy útočí především na velké organizace, malé a střední podniky jsou naopak zajímavými cíli pro menší a méně zkušené gangy. Tyto organizace a firmy totiž většinou nedisponují robustní ochranou a procesy pravidelných bezpečnostních aktualizací, které by je mohly před těmito útoky účinně ochránit,“ říká Jakub Souček, bezpečnostní expert z pražské výzkumné pobočky společnosti ESET, který stojí v čele týmu zabývajícím se mezinárodní kyberkriminalitou.

„Podle našich pravidelných průzkumů patří únik nebo krádež dat mezi hrozby, kterých se firmy v Česku obávají nejvíce – s pokusem o útok ransomwarem se každý měsíc setká až desítka z nich. V případě gangu CosmicBeetle by pak firmy a organizace určitě neměly podcenit adekvátní ochranu před ransomwarem. Jelikož se jedná o mladého aktéra, který své škodlivé kódy a nástroje neustále vyvíjí, nedá se spolehnout na to, že budou vždy správně fungovat. Obnova dat pak nemusí být ani při zaplacení zaručena a nejlepší obranou je tak prevence,“ dodává Souček.

Za úspěchem CosmicBeetle stojí známá značka a silný partner

Podle společnosti ESET skupina využívá zveřejněný builder nechvalně proslulého ransomwarového gangu LockBit, který je v současnosti ve své aktivitě oslabený díky operaci Cronos z února 2024. Podle bezpečnostních specialistů se skupina CosmicBeetle snaží „přiživit“ na reputaci tohoto aktéra a využít jeho značku ve svých útocích. Kromě těchto zjištění je také pravděpodobné, že CosmicBeetle je novým partnerem gangu RansomHub, který funguje jako tzv. rasnomware-as-a-service. Jedná se o model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům. RansomHub je aktivní od letošního března a velmi rychle se vyšplhal mezi nejvýraznější aktéry na mezinárodní ransomwarové scéně.

„Napsat od nuly vlastní ransomwarový kód může přinášet řadu překážek. Pravděpodobně i z toho důvodu se skupina CosmicBeetle rozhodla, že využije reputaci gangu LockBit. Může za tím být snaha zakrýt nějaké problémy v základním kódu a zvýšit tak šanci, že oběti přesto zaplatí,“ vysvětluje Souček. „Nedávno jsme navíc také zpozorovali nasazení dvou různých ransomware vzorků na stejném zařízení, a to s odstupem jen jednoho týdne. Jednalo se o ransomware ScRansom a ransomware, který typicky využívá gang RansomHub. To bylo v porovnání s běžnými incidenty skupiny RansomHub, které v naší telemetrii vídáme, velmi neobvyklé. Zároveň jsme však našli několik shodných charakteristik s chováním skupiny CosmicBeetle. Vzhledem k tomu, že v případě gangu RansomHub nejsou evidovány žádné úniky jeho kódů na veřejnost, je zde určitá možnost, že skupina CosmicBeetle byla v nedávné době partnerem gangu RansomHub,“ dodává Souček.

Skupina CosmicBeetle často používá tzv. útoky hrubou silou k prolomení obrany systémů svých obětí. Kromě toho zneužívá také řadu známých zranitelností. Mezi její nejčastější oběti patří malé a střední podniky z různých odvětví po celém světě. Segment malých a středních firem obvykle využívá softwarové nástroje, které jsou těmito útoky postiženy. Tyto organizace také často nemají zavedené robustní procesy správy bezpečnostních záplat. ESET zaznamenal útoky v následujících odvětvích a oblastech: výroba, farmacie, právní služby, vzdělávání, zdravotnictví, technologie, pohostinství, finanční služby či územní orgány státní správy.

Experti varují: obnova dat nemusí být úspěšná

Kromě zašifrování souborů může ransomware ScRansom zastavit také různé procesy a služby na postiženém zařízení. ScRansom není příliš pokročilý ransomware, přesto se skupině CosmicBeetle podařilo napadnout významné cíle a způsobit jim velké škody. Oběti postižené ransomwarem ScRansom by tak měly být opatrné, pokud se rozhodnou útočníkům za dešifrování souborů zaplatit. CosmicBeetle je totiž stále nezkušený ransomwarový gang a nasazení škodlivého kódu ScRansom provází problémy.

Bezpečnostním expertům z ESETu se podařilo získat dešifrovací nástroj skupiny CosmicBeetle, který využívala ve svých nedávných útocích. Škodlivý kód ScRansom prochází neustálým vývojem, což není z hlediska ransomwarových útoků nikdy dobré znamení – přílišná komplikovanost procesu zašifrování (a dešifrování) vytváří prostor pro chyby, což má vliv na to, jak úspěšné bude obnovení všech souborů. Úspěšné dešifrování závisí na správné funkci dešifrovacího nástroje a na tom, zda útočníci z CosmicBeetle poskytnou všechny potřebné dešifrovací klíče.

Skupina CosmicBeetle je aktivní minimálně od roku 2020 a název ji experti z ESETu přiřadili po jejím objevení v roce 2023. Tento ransomwarový gang je nejvíce známý používáním své vlastní sbírky nástrojů psaných v jazyce Delphi, souhrnně nazývaných Spacecolon.

Více informací o ransomwarovém gangu CosmicBeetle

Podrobné technické informace o útocích ransomwarového gangu CosmicBeetle najdete na webu welivesecurity.com.

Další informace

Týmy bezpečnostních expertů společnosti ESET pravidelně představují závěry svých analýz prostřednictvím tiskových zpráv a odborných publikací, či na řadě významných konferencí, jako je například Virus Bulletin, Botconf nebo Prague Cyber Security Conference. Mezi poslední úspěšné akce patří kromě loňského rozkrytí fungování organizovaných skupin na internetových bazarech například také spolupráce na rozbití botnetu Grandoreiro ve spolupráci s brazilskou federální policií.

Více informací o trendech v kyberbezpečnosti najdete například v online magazínu o IT bezpečnosti pro firmy Digital Security Guide.

Společnost ESET ve spolupráci s kyberbezpečnostními odborníky dále připravuje podcast True Positive. Vysvětlení aktuálních kyberbezpečnostních pojmů a trendů najdete dále na stránkách Slovníku ESET.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio řešení od ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři výzkumná a vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.

Zdroj: www.eset.com

Další články

Další články od ESET

Hrozby pro Android: Lidé nechtějí platit za prémiové služby, zneužívají toho hackeři

Hrozby pro Android: Lidé nechtějí platit za prémiové služby, zneužívají toho hackeři

V březnu se na první příčce statistiky kyberhrozeb pro platformu Android objevil trojský kůň Agent.GKE. Počet jeho detekcí od minulého měsíce výrazněji narostl a podle bezpečnostních expertů máme co do činění s velmi úspěšnou útočnou kampaní. Útočníci jej vydávají za škodlivou modifikaci pro aplikaci Spotify, která slibuje možnost bezplatné aktualizace na prémiovou verzi. Nejvíce se v březnu objevoval ve Španělsku, Polsku a v České republice. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v zemích EU od společnosti ESET.
| ESET
ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

ESET: Snake Keylogger nebo Infostealer Formbook? Kyberhrozby se v Česku každý měsíc rychle střídají

Pořadí nejčastěji detekovaných škodlivých kódů pro operační systém Windows v Česku se aktuálně mění z měsíce na měsíc. Zatímco ještě v únoru byl největším rizikem malware Agent.AES, známý také jako Snake Keylogger, v březnu jej se stejným počtem zachycených detekcí opět vystřídal infostealer Formbook. Bezpečnostní experti tak situaci stále monitorují, a to v prostředí, ve kterém před několika měsíci došlo k útlumu dlouhodobě dominantního infostealeru Agent Tesla. Podle nich útočníci škodlivé kódy velmi dynamicky vyvíjejí a o to větší nebezpečí mohou představovat pro uživatele a uživatelky. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.
| ESET
Průzkum ESET: Češi chtějí nakupovat kryptoměny, podceňují ale kybernetická rizika

Průzkum ESET: Češi chtějí nakupovat kryptoměny, podceňují ale kybernetická rizika

Zhruba polovina Čechů a Češek plánuje nákup kryptoměn, necelá třetina je už vlastní nebo někdy vlastnila. Kromě složitosti a finanční rizikovosti se bojí také kybernetických rizik, třetina však netuší, jaká rizika by to měla být. Vyplývá to z nového průzkumu společnosti ESET. Podle bezpečnostních expertů se můžeme v Česku aktuálně setkávat s podvodem, při kterém útočníci využívají různé techniky manipulace, včetně falešného obsahu, který vydávají za články ve známých médiích. Cílem je oběť kontaktovat a přimět ji k nákupu falešných služeb, zboží nebo k investicím.
| ESET
Hrozby pro macOS: Rizikem byl v prvním čtvrtletí 2025 adware zneužívající SEO, posílil i zloděj kryptoměn

Hrozby pro macOS: Rizikem byl v prvním čtvrtletí 2025 adware zneužívající SEO, posílil i zloděj kryptoměn

Adware MaxOfferDeal se stal v prvním čtvrtletí letošního roku nejčastějším škodlivým kódem pro počítače od firmy Apple. Bezpečnostní experti jej přitom na předních místech pravidelné statistiky v minulém období nezaznamenali. Vyplývá to z detekčních dat společnosti ESET pro platformu macOS v Česku a na Slovensku za období od ledna do března 2025. Výrazněji dále klesaly detekce adwaru Pirrit, nicméně o několik procentních bodů posílil infostealer PSW.Agent. Jedná se v současnosti o výrazné riziko pro tuto platformu. Cílem infostealeru jsou mimo jiné také kryptoměny a kryptoměnové peněženky.
| ESET
ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

ESET odhalil nové vazby mezi konkurenčními ransomwarovými gangy, snaží se vypnout obranné technologie

Bezpečnostní experti ze společnosti ESET vydali novou, podrobnou analýzu o významných změnách v ekosystému ransomwarových gangů. Analýza se zaměřuje na nově vzniklý a aktuálně dominantní gang RansomHub, který funguje v modelu ransomware-as-a-service (RaaS). Experti v nové analýze sdílí zatím nepublikované informace o organizační struktuře partnerů tohoto gangu. Odkrývají také dosud nezdokumentované spojení mezi tímto gangem a dalšími, již zavedenými ransomwarovými skupinami Play, Medusa a BianLian. Analýza dále nabízí nový pohled na škodlivý kód EDRKillShifter. Jedná se o vlastní nástroj útočníků určený k vypnutí EDR (Detekce a reakce na hrozby pro koncová zařízení). Jak experti zdůrazňují, hrozby v podobě těchto nástrojů jsou v současnosti na vzestupu.
| ESET
ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

ESET aktualizuje platformu ESET PROTECT, nová funkce pomůže s obnovou po útoku ransomwarem

Společnost ESET, přední světový poskytovatel řešení v oblasti kybernetické bezpečnosti, aktualizovala svou platformu ESET PROTECT, která je součástí nabídky pro zákazníky z řad firem, organizací a institucí. Aktualizovaná nabídka nově obsahuje funkci Obnova po útoku ransomwarem. ESET tak svým zákazníkům poskytne nový způsob řešení této globální kybernetické hrozby. Mimo to aktualizace obsahuje také nové funkcionality pro řešení ESET Cloud Office Security s cílem posílit zabezpečení e-mailové komunikace – ochranu proti spoofingu (technika, při které se útočníci vydávají za jinou osobu nebo zařízení) a před útoky využívajícími tzv. homoglyfy (znaky, které pochází z jiných abeced, ale jsou zaměnitelné s latinským písmem). Aktualizace přináší vylepšení stability a výkonu také pro AI asistenta ESET AI Advisor.
| ESET
Hrozby pro Android: V únoru útočníci lákali své oběti na získání prémiové verze Spotify

Hrozby pro Android: V únoru útočníci lákali své oběti na získání prémiové verze Spotify

Také únorová statistika kybernetických hrozeb potvrdila, že adware Andreed má zatím dobře nakročeno stát se i letos hlavním kybernetickým rizikem pro platformu Android. Vyplývá to z pravidelné analýzy detekčních dat pro tuto platformu v zemích EU od společnosti ESET. Skladba a pořadí nejčastěji detekovaných škodlivých kódů se zatím nemění, útočníci se však v případě trojského koně Agent.GKE rozhodli vyzkoušet novou strategii. Škodlivý kód v únoru maskovali za falešnou modifikaci k získání placené služby Spotify Premium. Desetina všech zachycených případů v Evropě se týkala také České republiky. Bezpečnostní experti varují, že s tím, jak uživatelé a uživatelky hledají cesty k úspoře svých peněz a poohlížejí se po možnostech jak obcházet standardní poplatky u aplikací, může počet případů škodlivého kódu dále růst.
| ESET
ESET: Nejoblíbenější zbraní kyberútočníků byl v únoru keylogger, zaznamenává stisky kláves na klávesnici

ESET: Nejoblíbenější zbraní kyberútočníků byl v únoru keylogger, zaznamenává stisky kláves na klávesnici

Nejčastějším škodlivým kódem pro operační systém Windows v Česku byl v únoru infostealer Agent.AES. Bezpečnostní experti jej detekovali ve čtvrtině všech zachycených případů. V bezpečnostní komunitě je tento malware známý také jako Snake Keylogger, který zaznamenává stisky kláves na klávesnici napadeného počítače. Jak však bezpečnostní experti varují, Snake Keylogger dokáže také odcizit přihlašovací údaje, hesla a uživatelská data stejně jako řada dalších infostealerů. Posilování tohoto škodlivého kódu potvrzuje očekávání expertů, kteří jej označují za jednoho z možných nástupců slábnoucího spywaru Agent Tesla. Vyplývá to z pravidelné statistiky kybernetických hrozeb pro operační systém Windows v České republice od společnosti ESET.
| ESET
Hrozby pro Android: Zdrojem škodlivého kódu byly v lednu verze populárních her a falešná VPN

Hrozby pro Android: Zdrojem škodlivého kódu byly v lednu verze populárních her a falešná VPN

Nejčastěji detekovaným škodlivým kódem pro platformu Android zůstal v lednu adware Andreed. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v zemích EU od společnosti ESET. Stejným rizikem jako pro Českou republiku je také pro uživatele a uživatelky v Německu nebo ve Švédsku. V lednu jej útočníci nejvíce šířili prostřednictvím nebezpečných verzí her Vector, Spider Solitaire či Bike Race Pro. Kromě škodlivého kódu Agent.GKE, který se vydával například za Spotify, Minecraft či aplikaci Flightradar, na sebe v lednu upozornil i trojský kůň Agent.EQD. Útočníci jej šířili jako falešnou VPN aplikaci a jeho úkolem bylo zapojit napadené uživatele do DDoS útoku.
| ESET
ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

ESET: Severokorejští útočníci se zaměřili na IT vývojáře, nabízejí falešné pracovní nabídky a cílí na kryptoměny

Výzkumní analytici kyberbezpečnostní společnosti ESET nově popsali aktivity skupiny útočníků, kterou nazvali DeceptiveDevelopment. Útočníci se v těchto případech vydávají za náboráře a své oběti z řad vývojářů softwaru lákají na falešné pracovní nabídky. Obětem se snaží „podstrčit“ soubory s projektem k vypracování v rámci domnělého výběrového řízení, ty ale obsahují škodlivé kódy určené ke krádežím informací a kyberšpionáži. Cílem útočníků je finanční zisk, a to konkrétně získání přístupových údajů do kryptoměnových peněženek obětí. Aktivity skupiny se po technické stránce podobají operacím, za kterými stojí útočné skupiny napojené na Severní Koreu, v tuto chvíli však nejsou připisovány žádné známé skupině útočníků. Své oběti si útočníci vybírají globálně s účelem okrást co nejvíce lidí. Odhalené aktivity pozorovali experti z ESETu také v Česku.
| ESET