रॉयल रैनसम की मांग $275 मिलियन से अधिक, रीब्रांड की तैयारी

रॉयल रैनसम की मांग $275 मिलियन से अधिक, रीब्रांड की तैयारी

समय टिकट: 14 नवंबर, 2023 10:48 AM
रॉयल रैनसम की मांग $275 मिलियन से अधिक है, प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को रीब्रांड किया जा रहा है। लंबवत खोज. ऐ.

ऐसा प्रतीत होता है कि रॉयल रैंसमवेयर गिरोह गतिविधि के एक नए दौर की तैयारी कर रहा है, जिसमें संभावित रूप से रीब्रांड या स्पिनऑफ़ प्रयास शामिल है, क्योंकि अमेरिकी संघीय के अनुसार, सितंबर 2022 में अपनी प्रारंभिक गतिविधि के बाद से तेजी से आगे बढ़ने वाले समूह द्वारा फिरौती की मांग पहले ही 275 मिलियन डॉलर से अधिक हो चुकी है। अधिकारी।

एक संयुक्त सलाह एफबीआई और सीआईएसए ने मंगलवार को संकेत दिया कि रैंसमवेयर समूह - जो सहयोगियों के बिना काम करता है और पीड़ितों से निकाले गए डेटा को बेरहमी से प्रकाशित करता है - जारी है तेजी से विकास करो.

एजेंसियों ने कहा कि अपनी स्थापना के बाद से केवल एक वर्ष में, समूह ने मनमाने तरीके से दुनिया भर में 350 से अधिक पीड़ितों को निशाना बनाया है - विशिष्ट क्षेत्रों या उद्योगों को लक्षित किए बिना - फिरौती में $ 1 मिलियन से $ 12 मिलियन के बीच की मांग की है। आज तक इसके पीड़ितों में संगठन भी शामिल हैं महत्वपूर्ण बुनियादी ढांचा क्षेत्र जिसमें विनिर्माण, संचार, शिक्षा और स्वास्थ्य देखभाल शामिल हैं; जिनमें से आखिरी में हुए हमलों ने अमेरिकी स्वास्थ्य और मानव सेवा विभाग (एचएचएस) सुरक्षा टीम का ध्यान आकर्षित किया।

रॉयल, जिसके बारे में कई शोधकर्ताओं का मानना ​​है कि इसकी उत्पत्ति राख से हुई है अब बंद हो चुका कोंटी ग्रुप, फिर से खुद को रीब्रांड करने के लिए सेट किया जा सकता है ब्लैकसूट के रूप में, एक और रैंसमवेयर जो साल के मध्य में उभरा और अपनी शुरुआत से ही अद्वितीय परिष्कार दिखाया। यह कदम संघीय अधिकारियों द्वारा बढ़ी हुई जांच के कारण हो सकता है, न केवल एचएचएस द्वारा जांच बल्कि निम्नलिखित के कारण भी एक हाई-प्रोफ़ाइल हमला मई में डलास शहर पर, अधिकारियों ने कहा।

एडवाइजरी के मुताबिक, "रॉयल एक री-ब्रांडिंग प्रयास और/या एक स्पिनऑफ वेरिएंट की तैयारी कर सकता है।" "ब्लैकसूट रैंसमवेयर रॉयल के समान कई पहचानी गई कोडिंग विशेषताओं को साझा करता है।"

रॉयल रैनसमवेयर संचालन पर नई अंतर्दृष्टि

कुल मिलाकर, रॉयल पर हालिया संघीय मार्गदर्शन - एजेंसियों द्वारा मार्च की सलाह का एक अद्यतन - समूह के संचालन के साथ-साथ इसके संभावित अगले कदमों पर नई रोशनी डालता है।

अपनी स्थापना से, रॉयल ने एक निश्चितता और नवीनता का प्रदर्शन किया जो संभवतः कोंटी के साथ उसके पिछले जुड़ाव से आया था। समूह रैनसमवेयर स्थल पर रैंसमवेयर को तैनात करने और पता लगाने से बचने के विभिन्न तरीकों से लैस होकर पहुंचा, ताकि पीड़ितों को प्रतिक्रिया देने का मौका मिलने से पहले यह महत्वपूर्ण नुकसान कर सके। शोधकर्ताओं ने कहा समूह का पता चलने के तुरंत बाद।

रॉयल पर नवीनतम खुफिया जानकारी से पता चलता है कि समूह अपनी मूल आंशिक-एन्क्रिप्शन और डबल-एक्सटॉर्शन रणनीति को लागू करना जारी रख रहा है। विश्लेषकों ने यह भी कहा कि पीड़ित के नेटवर्क से समझौता करने का अब तक का सबसे सफल तरीका फ़िशिंग है; एजेंसियों के अनुसार, 66.7% मामलों में इसने फ़िशिंग ईमेल के माध्यम से नेटवर्क तक प्रारंभिक पहुंच प्राप्त की है।

एजेंसियों ने कहा, "ओपन सोर्स रिपोर्टिंग के अनुसार, पीड़ितों ने अनजाने में मैलवेयर इंस्टॉल किया है जो दुर्भावनापूर्ण पीडीएफ दस्तावेजों और मैलवेयर वाले फ़िशिंग ईमेल प्राप्त करने के बाद रॉयल रैंसमवेयर वितरित करता है।"

13.3% पीड़ितों में प्रवेश का दूसरा सबसे आम तरीका रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) के माध्यम से था, और कुछ मामलों में रॉयल ने वर्चुअल प्राइवेट नेटवर्क (वीपीएन) क्रेडेंशियल्स की कटाई करके प्रारंभिक पहुंच और स्रोत ट्रैफ़िक प्राप्त करने के लिए सार्वजनिक-सामना करने वाले अनुप्रयोगों या लीवरेज्ड ब्रोकरों का शोषण किया। चोरी करने वाले लॉग से, एजेंसियों ने सूचना दी।

एक बार नेटवर्क तक पहुंच प्राप्त करने के बाद, समूह एक नेटवर्क में पैर जमाने और क्रमशः कमांड-एंड-कंट्रोल (सी2) के साथ संचार करने के लिए कई टूल डाउनलोड करता है - जिसमें वैध विंडोज सॉफ्टवेयर और एक ओपन सोर्स टनलिंग टूल चिसेल शामिल है। रॉयल अक्सर नेटवर्क पर पार्श्व रूप से स्थानांतरित करने के लिए RDP का उपयोग करता है और दृढ़ता के लिए AnyDesk, LogMeIn और Atera जैसे रिमोट मॉनिटरिंग और प्रबंधन (RMM) सॉफ़्टवेयर का उपयोग करता है।

आंशिक एन्क्रिप्शन का विकास

RSI अद्वितीय आंशिक एन्क्रिप्शन दृष्टिकोण जिसे रॉयल ने उपयोग किया है अपनी स्थापना के बाद से यह इसके संचालन का एक प्रमुख पहलू बना हुआ है, रैंसमवेयर का नवीनतम संस्करण अपने स्वयं के कस्टम-निर्मित फ़ाइल एन्क्रिप्शन प्रोग्राम का उपयोग कर रहा है। रॉयल का परिष्कृत आंशिक एन्क्रिप्शन खतरे वाले अभिनेता को एन्क्रिप्ट करने के लिए फ़ाइल में डेटा का एक विशिष्ट प्रतिशत चुनने की अनुमति देता है, इस प्रकार बड़ी फ़ाइलों के लिए एन्क्रिप्शन प्रतिशत कम हो जाता है और समूह को पता लगाने से बचने में मदद मिलती है।

समूह दोहरी जबरन वसूली का अभ्यास भी जारी रखता है, एन्क्रिप्शन से पहले डेटा को बाहर निकालता है, और फिर फिरौती की मांग पूरी नहीं होने पर एन्क्रिप्टेड पीड़ित डेटा को सार्वजनिक रूप से जारी करने की धमकी देता है।

सलाह के अनुसार, "पीड़ितों के नेटवर्क तक पहुंच प्राप्त करने के बाद, रॉयल अभिनेता एंटीवायरस सॉफ़्टवेयर को अक्षम कर देते हैं और अंततः रैंसमवेयर को तैनात करने और सिस्टम को एन्क्रिप्ट करने से पहले बड़ी मात्रा में डेटा को बाहर निकाल देते हैं।"

एजेंसियों ने पाया कि इस घुसपैठ को हासिल करने के लिए, समूह कोबाल्ट स्ट्राइक जैसे वैध साइबर प्रवेश परीक्षण उपकरण और डेटा एकत्रीकरण और घुसपैठ के लिए उर्स्निफ/गोजी जैसे मैलवेयर टूल और डेरिवेटिव का पुन: उपयोग करता है, डेटा को शुरू में यूएस आईपी पते पर भेजता है।

'शाही व्यवहार' से बचना

संघीय सलाह में रॉयल रैंसमवेयर हमलों से जुड़ी फाइलों, कार्यक्रमों और आईपी पतों की एक सूची शामिल है।

रॉयल या अन्य रैंसमवेयर समूहों द्वारा शामिल होने से बचने के लिए, एफबीआई और सीआईएसए अनुशंसा करते हैं कि संगठन ज्ञात शोषित कमजोरियों को दूर करने को प्राथमिकता दें ताकि हमलावरों के लिए अपने नेटवर्क में मौजूदा खामियों का फायदा उठाना कठिन हो सके।

यह देखते हुए कि रॉयल में प्रवेश का सबसे सफल बिंदु फ़िशिंग के माध्यम से है, फेड कर्मचारियों को फ़िशिंग घोटालों का पता लगाने और उनकी रिपोर्ट करने के लिए प्रशिक्षण की भी सलाह देते हैं ताकि उनका शिकार होने से बचा जा सके। एजेंसियों के अनुसार, सभी प्रणालियों में मल्टीफैक्टर प्रमाणीकरण को सक्षम करना और लागू करना भी एक आवश्यक रक्षा रणनीति है।

समय टिकट:

से अधिक डार्क रीडिंग