ब्लैककैट/एएलपीएचवी गैंग रैनसमवेयर टैक्टिक प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के रूप में वाइपर कार्यक्षमता जोड़ता है। लंबवत खोज. ऐ.

ब्लैककैट/एएलपीएचवी गिरोह रैंसमवेयर रणनीति के रूप में वाइपर कार्यक्षमता जोड़ता है

समय टिकट: 27 सितंबर, 2022 9:51 पूर्वाह्न

ब्लैककैट/एएलपीएचवी द्वारा संचालित मैलवेयर किसी संगठन के डेटा को केवल एन्क्रिप्ट करने के बजाय उसे हटाकर और नष्ट करके रैंसमवेयर गेम में एक नया मोड़ ला रहा है। शोधकर्ताओं के अनुसार, यह विकास उस दिशा की एक झलक प्रदान करता है जिस दिशा में वित्तीय रूप से प्रेरित साइबर हमले होने की संभावना है।

सुरक्षा फर्म साइडरेस और स्टेयरवेल के शोधकर्ताओं ने एक्समैटर नामक ब्लैककैट/एएलपीएचवी रैंसमवेयर के संबंध में एक .NET एक्सफिल्ट्रेशन टूल को तैनात किया है जो चयनित निर्देशिकाओं से विशिष्ट फ़ाइल प्रकारों की खोज करता है, उन्हें हमलावर-नियंत्रित सर्वर पर अपलोड करता है, और फिर फ़ाइलों को भ्रष्ट और नष्ट कर देता है। . डेटा को पुनः प्राप्त करने का एकमात्र तरीका गिरोह से निकाली गई फ़ाइलों को वापस खरीदना है।

एक के अनुसार, "ऐसी अफवाह है कि डेटा विनाश वह जगह है जहां रैंसमवेयर जाएगा, लेकिन हमने वास्तव में इसे जंगल में नहीं देखा है।" ब्लॉग पोस्ट हाल ही में Cyderes वेबसाइट पर प्रकाशित हुआ। शोधकर्ताओं ने कहा कि एक्समैटर यह संकेत दे सकता है कि स्विच हो रहा है, यह दर्शाता है कि खतरे वाले कलाकार सक्रिय रूप से ऐसी क्षमता विकसित करने और विकसित करने की प्रक्रिया में हैं।

साइडरेस शोधकर्ताओं ने एक्समैटर का प्रारंभिक मूल्यांकन किया, फिर स्टेयरवेल की थ्रेट रिसर्च टीम ने मैलवेयर का विश्लेषण करने के बाद "आंशिक रूप से कार्यान्वित डेटा विनाश कार्यक्षमता" की खोज की। एक सहयोगी ब्लॉग पोस्ट के लिए.

“रैंसमवेयर-ए-सर्विस (RaaS) परिनियोजन के बदले संबद्ध स्तर के अभिनेताओं द्वारा डेटा विनाश का उपयोग डेटा जबरन वसूली परिदृश्य में एक बड़े बदलाव को चिह्नित करेगा, और वर्तमान में काम कर रहे वित्तीय रूप से प्रेरित घुसपैठ अभिनेताओं के संतुलन का संकेत देगा। रास सहबद्ध कार्यक्रमों के बैनर, “स्टेयरवेल खतरे के शोधकर्ता डैनियल मेयर और साइडेरेस में विशेष संचालन के निदेशक शेल्बी काबा ने पोस्ट में उल्लेख किया।

एक सुरक्षा विशेषज्ञ का कहना है कि एक्समैटर में इस नई क्षमता का उद्भव तेजी से विकसित हो रहे और तेजी से परिष्कृत खतरे के परिदृश्य की याद दिलाता है क्योंकि खतरे वाले अभिनेता अपनी गतिविधि को अपराधीकृत करने के लिए और अधिक रचनात्मक तरीके खोजने की ओर अग्रसर हैं।

सुरक्षित संचार प्रदाता डिस्पर्सिव होल्डिंग्स के सीईओ राजीव पिंपलास्कर ने डार्क रीडिंग को बताया, "आम धारणा के विपरीत, आधुनिक हमले हमेशा डेटा चोरी के बारे में नहीं होते हैं, बल्कि विनाश, व्यवधान, डेटा हथियारीकरण, दुष्प्रचार और/या प्रचार के बारे में भी हो सकते हैं।"

पिम्पलास्कर कहते हैं, इन निरंतर विकसित होने वाले खतरों की मांग है कि उद्यमों को भी अपनी सुरक्षा को तेज करना चाहिए और उन्नत सुरक्षा समाधान तैनात करना चाहिए जो उनकी संबंधित हमले की सतहों को सख्त करते हैं और संवेदनशील संसाधनों को अस्पष्ट करते हैं, जिससे उन्हें पहले स्थान पर हमला करने के लिए कठिन लक्ष्य बना दिया जाएगा।

ब्लैकमैटर से पिछला संबंध

एक्समैटर पर शोधकर्ताओं का विश्लेषण पहली बार नहीं है कि इस नाम का कोई उपकरण ब्लैककैट/एएलपीएचवी के साथ जुड़ा है। माना जाता है कि वह समूह विभिन्न रैंसमवेयर गिरोहों के पूर्व सदस्यों द्वारा चलाया जाता है, जिनमें अब निष्क्रिय हो चुके लोग भी शामिल हैं ब्लैकमैटर - कास्परस्की के शोधकर्ताओं ने दोहरे जबरन वसूली हमले में रैंसमवेयर तैनात करने से पहले, पिछले दिसंबर और जनवरी में कॉर्पोरेट पीड़ितों के डेटा को बाहर निकालने के लिए एक्समैटर का इस्तेमाल किया था। पहले की सूचना दी.

वास्तव में, कास्परस्की ने ब्लैककैट/एएलपीएचवी गतिविधि को उससे जोड़ने के लिए एक्समैटर, जिसे फेंडर के नाम से भी जाना जाता है, का उपयोग किया। ब्लैकमैटर धमकी संक्षिप्त में, जो इस साल की शुरुआत में प्रकाशित हुआ था।

मेयर ने बताया कि स्टेयरवेल और साइडेरेस शोधकर्ताओं ने एक्समैटर के जिस नमूने की जांच की, वह एक .NET निष्पादन योग्य है जिसे एफ़टीपी, एसएफटीपी और वेबडीएवी प्रोटोकॉल का उपयोग करके डेटा एक्सफ़िल्ट्रेशन के लिए डिज़ाइन किया गया है, और इसमें डिस्क पर मौजूद फ़ाइलों को दूषित करने की कार्यक्षमता शामिल है, मेयर ने समझाया। यह ब्लैकमैटर के इसी नाम के टूल के साथ संरेखित है।

एक्समैटर डिस्ट्रक्टर कैसे काम करता है

"सिंक" नामक रूटीन का उपयोग करते हुए, मैलवेयर पीड़ित मशीन पर ड्राइव के माध्यम से पुनरावृत्त होता है, एक्सफ़िल्ट्रेशन के लिए कुछ और विशिष्ट फ़ाइल एक्सटेंशन की फ़ाइलों की एक कतार उत्पन्न करता है, जब तक कि वे मैलवेयर की हार्डकोडेड ब्लॉकलिस्ट में निर्दिष्ट निर्देशिका में स्थित न हों।

मेयर ने कहा, एक्समैटर कतारबद्ध फाइलों को हमलावर-नियंत्रित आईपी पते पर अपलोड करके घुसपैठ कर सकता है।

उन्होंने पोस्ट में बताया, "एक्सफ़िल्ट्रेट की गई फ़ाइलें अभिनेता-नियंत्रित सर्वर पर पीड़ित मशीन के होस्टनाम के समान नाम वाले फ़ोल्डर में लिखी जाती हैं।"

शोधकर्ताओं ने कहा कि डेटा-विनाश की प्रक्रिया "इरेज़र" नामक नमूने के भीतर परिभाषित एक वर्ग के भीतर होती है जिसे सिंक के साथ समवर्ती रूप से निष्पादित करने के लिए डिज़ाइन किया गया है। जैसा कि सिंक अभिनेता-नियंत्रित सर्वर पर फ़ाइलें अपलोड करता है, यह उन फ़ाइलों को जोड़ता है जिन्हें इरेज़र द्वारा संसाधित की जाने वाली फ़ाइलों की कतार में दूरस्थ सर्वर पर सफलतापूर्वक कॉपी किया गया है, मेयर ने समझाया।

इरेज़र कतार से बेतरतीब ढंग से दो फ़ाइलों का चयन करता है और फ़ाइल 1 को दूसरी फ़ाइल की शुरुआत से लिए गए कोड के एक हिस्से के साथ अधिलेखित कर देता है, एक भ्रष्टाचार तकनीक जिसका उद्देश्य चोरी की रणनीति हो सकती है, उन्होंने नोट किया।

मेयर ने लिखा, "अन्य फ़ाइलों को दूषित करने के लिए पीड़ित मशीन से वैध फ़ाइल डेटा का उपयोग करने का कार्य रैंसमवेयर और वाइपर के लिए अनुमान-आधारित पहचान से बचने की एक तकनीक हो सकती है," क्योंकि फ़ाइल डेटा को एक फ़ाइल से दूसरी फ़ाइल में कॉपी करना अधिक प्रशंसनीय रूप से सौम्य है। यादृच्छिक डेटा के साथ फ़ाइलों को क्रमिक रूप से अधिलेखित करने या उन्हें एन्क्रिप्ट करने की तुलना में कार्यक्षमता। मेयर ने लिखा.

कार्य प्रगति पर है

शोधकर्ताओं ने नोट किया कि ऐसे कई सुराग हैं जो दर्शाते हैं कि एक्समैटर की डेटा-भ्रष्टाचार तकनीक पर काम चल रहा है और इस प्रकार रैंसमवेयर समूह द्वारा इसे अभी भी विकसित किया जा रहा है।

नमूने में एक कलाकृति जो इस ओर इशारा करती है वह यह तथ्य है कि दूसरी फ़ाइल की खंड लंबाई, जिसका उपयोग पहली फ़ाइल को अधिलेखित करने के लिए किया जाता है, यादृच्छिक रूप से तय की जाती है और 1 बाइट जितनी छोटी हो सकती है।

शोधकर्ताओं ने नोट किया कि डेटा-विनाश प्रक्रिया में भ्रष्टाचार कतार से फ़ाइलों को हटाने के लिए कोई तंत्र नहीं है, जिसका अर्थ है कि कुछ फ़ाइलों को प्रोग्राम समाप्त होने से पहले कई बार ओवरराइट किया जा सकता है, जबकि अन्य को कभी भी चुना नहीं जा सकता है।

इसके अलावा, वह फ़ंक्शन जो इरेज़र वर्ग का उदाहरण बनाता है - जिसे उपयुक्त रूप से "इरेज़" नाम दिया गया है - शोधकर्ताओं द्वारा विश्लेषण किए गए नमूने में पूरी तरह से लागू नहीं होता है, क्योंकि यह सही ढंग से विघटित नहीं होता है, उन्होंने कहा।

एन्क्रिप्ट करने के बजाय नष्ट क्यों करें?

विकासशील डेटा-भ्रष्टाचार और विनाश क्षमताएँ शोधकर्ताओं ने नोट किया कि डेटा को एन्क्रिप्ट करने के बदले में रैंसमवेयर अभिनेताओं के लिए कई फायदे हैं, विशेष रूप से डेटा घुसपैठ और डबल-एक्सटॉर्शन (यानी, चोरी किए गए डेटा को लीक करने की धमकी देना) खतरे वाले अभिनेताओं का एक सामान्य व्यवहार बन गया है। उन्होंने कहा, इससे फाइलों को एन्क्रिप्ट करने के लिए स्थिर, सुरक्षित और तेज रैंसमवेयर विकसित करना फाइलों को भ्रष्ट करने और डेटा रिकवरी के साधन के रूप में एक्सफ़िल्टर्ड प्रतियों का उपयोग करने की तुलना में अनावश्यक और महंगा हो गया है।

शोधकर्ताओं ने नोट किया कि एन्क्रिप्शन को पूरी तरह से खत्म करने से RaaS सहयोगियों के लिए प्रक्रिया तेज हो सकती है, ऐसे परिदृश्यों से बचा जा सकता है जिसमें वे मुनाफा खो देते हैं क्योंकि पीड़ित डेटा को डिक्रिप्ट करने के अन्य तरीके ढूंढते हैं।

मेयर ने कहा, "ये कारक सहयोगियों के लिए RaaS मॉडल को छोड़कर अपने दम पर हमला करने के लिए एक उचित मामले में परिणत होते हैं," विकास-भारी रैंसमवेयर को डेटा विनाश के साथ प्रतिस्थापित करना। 

समय टिकट:

से अधिक डार्क रीडिंग