शक्तिशाली कैओस मैलवेयर एक बार फिर विकसित हुआ है, जो एक नए गो-आधारित, मल्टीप्लेटफ़ॉर्म खतरे में बदल गया है, जिसका इसके पिछले रैंसमवेयर पुनरावृत्ति से कोई समानता नहीं है। अब यह डिस्ट्रीब्यूटेड डिनायल-ऑफ-सर्विस (डीडीओएस) हमले शुरू करने और क्रिप्टोमाइनिंग करने के लिए ज्ञात सुरक्षा कमजोरियों को लक्षित कर रहा है।
लुमेन टेक्नोलॉजीज की खतरा खुफिया शाखा, ब्लैक लोटस लैब्स के शोधकर्ताओं ने हाल ही में चीनी भाषा में लिखे कैओस के एक संस्करण को देखा, जो चीन स्थित बुनियादी ढांचे का लाभ उठा रहा था, और उसी नाम के रैंसमवेयर-बिल्डर द्वारा देखी गई पिछली गतिविधि से कहीं अलग व्यवहार प्रदर्शित कर रहा था। उन्होंने कहा एक ब्लॉग पोस्ट में 28 सितंबर को प्रकाशित।
दरअसल, शोधकर्ताओं ने कैओस के पहले वेरिएंट और 100 विशिष्ट और हालिया कैओस समूहों के बीच अंतर इतना अलग है कि वे कहते हैं कि यह एक नया खतरा पैदा करता है। वास्तव में, शोधकर्ताओं का मानना है कि नवीनतम संस्करण वास्तव में का विकास है DDoS बॉटनेट काइजी और शायद "कैओस रैंसमवेयर बिल्डर से अलग" जो पहले जंगल में देखा गया था, उन्होंने कहा।
2020 में खोजे गए काइजी ने मूल रूप से नए बॉट्स को संक्रमित करने और फिर DDoS हमलों को लॉन्च करने के लिए SSH ब्रूट-फोर्सिंग का लाभ उठाकर लिनक्स-आधारित AMD और i386 सर्वर को लक्षित किया। शोधकर्ताओं ने कहा कि कैओस ने नए आर्किटेक्चर के लिए मॉड्यूल को शामिल करने के लिए काइजी की मूल क्षमताओं को विकसित किया है - जिसमें विंडोज भी शामिल है - साथ ही सीवीई शोषण और एसएसएच कुंजी कटाई के माध्यम से नए प्रसार मॉड्यूल भी शामिल हैं।
हाल की अराजकता गतिविधि
हाल की गतिविधि में, कैओस ने GitLab सर्वर से सफलतापूर्वक समझौता किया और DDoS-ए-सर्विस प्रदाताओं और एक क्रिप्टोकरेंसी एक्सचेंज के साथ-साथ गेमिंग, वित्तीय सेवाओं और प्रौद्योगिकी, और मीडिया और मनोरंजन उद्योगों को लक्षित करने वाले DDoS हमलों की झड़ी लगा दी।
शोधकर्ताओं ने कहा, कैओस अब न केवल उद्यम और बड़े संगठनों को बल्कि "उन उपकरणों और प्रणालियों को भी लक्षित कर रहा है जिनकी उद्यम सुरक्षा मॉडल के हिस्से के रूप में नियमित रूप से निगरानी नहीं की जाती है, जैसे एसओएचओ राउटर और फ्रीबीएसडी ओएस"।
और जबकि पिछली बार कैओस को जंगल में देखा गया था, यह विशिष्ट रैंसमवेयर के रूप में कार्य कर रहा था जो फ़ाइलों को एन्क्रिप्ट करने के उद्देश्य से नेटवर्क में प्रवेश करता था, शोधकर्ताओं ने कहा कि नवीनतम संस्करण के पीछे के कलाकारों के दिमाग में बहुत अलग उद्देश्य हैं।
इसकी क्रॉस-प्लेटफॉर्म और डिवाइस कार्यक्षमता के साथ-साथ नवीनतम कैओस गतिविधि के पीछे नेटवर्क बुनियादी ढांचे की गुप्त प्रोफ़ाइल यह प्रदर्शित करती है कि अभियान का उद्देश्य प्रारंभिक पहुंच, डीडीओएस हमलों और क्रिप्टोमाइनिंग का लाभ उठाने के लिए संक्रमित उपकरणों के नेटवर्क को तैयार करना है। , शोधकर्ताओं के अनुसार.
मुख्य अंतर, और एक समानता
जबकि कैओस के पिछले नमूने .NET में लिखे गए थे, नवीनतम मैलवेयर Go में लिखा गया है, जो तेजी से एक वायरस बनता जा रहा है। पसंद की भाषा शोधकर्ताओं ने कहा कि इसके क्रॉस-प्लेटफॉर्म लचीलेपन, कम एंटीवायरस पहचान दर और रिवर्स-इंजीनियरिंग में कठिनाई के कारण खतरे वाले अभिनेताओं के लिए।
और वास्तव में, कैओस का नवीनतम संस्करण इतना शक्तिशाली होने का एक कारण यह है कि यह कई प्लेटफार्मों पर काम करता है, जिसमें न केवल विंडोज और लिनक्स ऑपरेटिंग सिस्टम बल्कि एआरएम, इंटेल (i386), एमआईपीएस और पावरपीसी भी शामिल हैं, उन्होंने कहा।
यह मैलवेयर के पिछले संस्करणों की तुलना में बहुत अलग तरीके से प्रचारित होता है। हालांकि शोधकर्ता इसके प्रारंभिक एक्सेस वेक्टर का पता लगाने में असमर्थ थे, एक बार जब यह एक सिस्टम पर कब्जा कर लेता है, तो नवीनतम कैओस वेरिएंट ज्ञात कमजोरियों का इस तरह से शोषण करता है जो जल्दी से घूमने की क्षमता दिखाता है, शोधकर्ताओं ने नोट किया।
“हमने जिन नमूनों का विश्लेषण किया उनमें से कुछ की रिपोर्ट की गई हुआवेई के लिए सीवीई (CVE-2017-17215) और ZYXEL (CVE-2022-30525) व्यक्तिगत फ़ायरवॉल, दोनों ने अप्रमाणित रिमोट कमांड लाइन इंजेक्शन कमजोरियों का लाभ उठाया,'' उन्होंने अपने पोस्ट में देखा। "हालांकि, सीवीई फ़ाइल अभिनेता के लिए अद्यतन करने के लिए मामूली प्रतीत होती है, और हमारा आकलन है कि यह अत्यधिक संभावना है कि अभिनेता अन्य सीवीई का लाभ उठाता है।"
शोधकर्ताओं ने कहा कि जून 2021 में पहली बार सामने आने के बाद से अराजकता वास्तव में कई अवतारों से गुजर चुकी है और यह नवीनतम संस्करण इसका आखिरी संस्करण होने की संभावना नहीं है। इसका पहला संस्करण, कैओस बिल्डर 1.0-3.0, रयूक रैंसमवेयर के .NET संस्करण के लिए एक बिल्डर माना जाता है, लेकिन शोधकर्ताओं ने जल्द ही देखा कि यह रयूक से बहुत कम मिलता जुलता है और वास्तव में एक वाइपर था।
2021 के अंत में रिलीज़ हुए कैओस बिल्डर के संस्करण चार तक मैलवेयर कई संस्करणों में विकसित हुआ और इसे तब बढ़ावा मिला जब ओनिक्स नामक एक ख़तरनाक समूह ने अपना स्वयं का रैंसमवेयर बनाया। यह संस्करण जल्द ही सबसे आम कैओस संस्करण बन गया जो सीधे तौर पर जंगल में देखा गया, कुछ फ़ाइलों को एन्क्रिप्ट किया गया लेकिन ओवरराइट बनाए रखा गया और इसके पथ में अधिकांश फ़ाइलों को नष्ट कर दिया गया।
इस साल की शुरुआत में मई में, कैओस बिल्डर एन्क्रिप्शन के लिए अपनी वाइपर क्षमताओं का व्यापार किया, यशमा नामक एक रीब्रांडेड बाइनरी के साथ सामने आया जिसमें पूरी तरह से विकसित रैंसमवेयर क्षमताओं को शामिल किया गया था।
जबकि ब्लैक लोटस लैब्स द्वारा देखी गई अराजकता का सबसे हालिया विकास बहुत अलग है, इसमें अपने पूर्ववर्तियों के साथ एक महत्वपूर्ण समानता है - तेजी से विकास जो जल्द ही धीमा होने की संभावना नहीं है, शोधकर्ताओं ने कहा।
नवीनतम कैओस संस्करण का सबसे पहला प्रमाणपत्र 16 अप्रैल को तैयार किया गया था; यह तब है जब शोधकर्ताओं का मानना है कि खतरे वाले अभिनेताओं ने जंगल में नया संस्करण लॉन्च किया है।
शोधकर्ताओं ने कहा कि तब से, कैओस स्व-हस्ताक्षरित प्रमाणपत्रों की संख्या में "उल्लेखनीय वृद्धि" देखी गई है, जो मई में दोगुनी से अधिक होकर 39 हो गई और फिर अगस्त महीने में बढ़कर 93 हो गई। उन्होंने कहा कि 20 सितंबर तक, चालू माह 94 कैओस प्रमाणपत्रों के सृजन के साथ पिछले महीने की कुल संख्या को पार कर चुका है।
बोर्ड भर में जोखिम को कम करना
क्योंकि अराजकता अब सबसे छोटे घरेलू कार्यालयों से लेकर सबसे बड़े उद्यमों तक पीड़ितों पर हमला कर रही है, शोधकर्ताओं ने प्रत्येक प्रकार के लक्ष्य के लिए विशिष्ट सिफारिशें की हैं।
नेटवर्क का बचाव करने वालों के लिए, उन्होंने सलाह दी कि नेटवर्क प्रशासक नई खोजी गई कमजोरियों के लिए पैच प्रबंधन के शीर्ष पर रहें, क्योंकि यह अराजकता फैलने का एक प्रमुख तरीका है।
शोधकर्ताओं ने सिफारिश की, "कैओस संक्रमण के साथ-साथ किसी भी संदिग्ध बुनियादी ढांचे के कनेक्शन की निगरानी के लिए इस रिपोर्ट में उल्लिखित आईओसी का उपयोग करें।"
छोटे कार्यालय और गृह कार्यालय राउटर वाले उपभोक्ताओं को नियमित रूप से राउटर को रीबूट करने और सुरक्षा अपडेट और पैच स्थापित करने की सर्वोत्तम प्रथाओं का पालन करना चाहिए, साथ ही मेजबानों पर उचित रूप से कॉन्फ़िगर और अद्यतन ईडीआर समाधान का लाभ उठाना चाहिए। इन उपयोगकर्ताओं को जहां लागू हो वहां विक्रेताओं के अपडेट लागू करके सॉफ़्टवेयर को नियमित रूप से पैच करना चाहिए।
दूरदराज के कार्यकर्ता - एक हमले की सतह जो महामारी के पिछले दो वर्षों में काफी बढ़ गई है - भी जोखिम में है, और डिफ़ॉल्ट पासवर्ड को बदलकर और उन मशीनों पर रिमोट रूट एक्सेस को अक्षम करके इसे कम करना चाहिए जिन्हें इसकी आवश्यकता नहीं है, शोधकर्ताओं ने सिफारिश की। ऐसे कर्मचारियों को भी SSH कुंजियों को सुरक्षित रूप से और केवल उन उपकरणों पर संग्रहीत करना चाहिए जिनके लिए उनकी आवश्यकता होती है।
सभी व्यवसायों के लिए, ब्लैक लोटस लैब्स उनकी समग्र सुरक्षा स्थितियों को मजबूत करने और नेटवर्क-आधारित संचार पर मजबूत पहचान को सक्षम करने के लिए व्यापक सुरक्षित एक्सेस सर्विस एज (एसएएसई) और डीडीओएस शमन सुरक्षा के अनुप्रयोग पर विचार करने की सिफारिश करती है।
