Cos'è Spacecolon e perché è così temuto dagli esperti di sicurezza?

Gli esperti di sicurezza informatica di ESET hanno scoperto un nuovo e temibile set di strumenti utilizzato per diffondere malware, denominato Spacecolon.

Allo stato attuale, questo è utilizzato prevalentemente per diffondere il ransomware Scarab, ma non è da escludere altri utilizzi ancora sconosciuti. ESET ritiene che Spacecolon  possa possa penetrare in organizzazioni e strutture aziendali sfruttando server Web vulnerabili o attraverso attacchi di forza bruta.

Dopo un’attenta indagine, gli esperti hanno individuato alcune stringhe in lingua turca: questo potrebbe essere un indizio sulla provenienza di chi sta gestendo questo strumento. Anche se si conosce ancora ben poco degli autori, ESET ha deciso di riferirsi a tali cybercriminali con il nome CosmicBeetle.

Il set di cui stiamo parlando presenta tre distinti componenti, tutti scritti in linguaggio di programmazione Delphi. Stiamo parlando di:

• ScHackTool, va a gestire la distribuzione degli altri due elementi;
• ScInstaller, agisce installando ScService;
• ScService, funziona come una backdoor, eseguendo comandi e scaricando payload.

Attraverso questi, CosmicBeetle stabilisce un accesso remoto e lancia attacchi ransomware.

Spacecolon, CosmicBeetle e i ransomware: un mix molto pericoloso

L’analisi di ESET ha anche svelato lo sviluppo di una nuova famiglia di ransomware, ScRansom, che si ritiene sia stata creata dallo stesso sviluppatore dietro Spacecolon. Anche questo agente malevolo presenta stringhe in turco nel suo codice oltre ad alcune similitudini a livello di interfaccia con Spacecolon.

ScRansom è progettato per crittografare varie unità utilizzando l’algoritmo AES-128, generando una chiave da una stringa codificata. Non essendo stato ancora osservato in azione, gli esperti sostengono che il ransomware di cui stiamo parlando sia ancora nella sua fase di sviluppo.

Per i comuni utenti, le precauzioni restano le stesse per qualunque altro agente malevolo di questo tipo. Prudenza massima, un antivirus adeguato alla situazione e grande attenzione rispetto alla gestione delle password e alla posta elettronica (soprattutto per link nelle e-mail e allegati).