وائپر، جعلی رینسم ویئر کے بھیس میں، روسی تنظیموں پلیٹو بلاکچین ڈیٹا انٹیلی جنس کو نشانہ بناتا ہے۔ عمودی تلاش۔ عی

وائپر، جعلی رینسم ویئر کے بھیس میں، روسی اداروں کو نشانہ بناتا ہے۔

ٹائم سٹیمپ: 5 دسمبر 2022 شام 4:09 بجے

مبینہ رینسم ویئر سے متاثر ہونے والی کمپنیوں کے پاس اب تاوان ادا کرنے کا اختیار نہیں رہ سکتا ہے۔

ایک نیا بدنیتی پر مبنی پروگرام بالکل کرپٹو رینسم ویئر کی طرح کام کرتا ہے — فائلوں کو اوور رائٹ کرنا اور ان کا نام تبدیل کرنا، پھر تاوان کے نوٹ کے ساتھ ٹیکسٹ فائل چھوڑنا اور ادائیگی کے لیے بٹ کوائن ایڈریس — لیکن پروگرام اس کے بجائے متاثرہ کی فائلوں کے مواد کو حذف کر دیتا ہے۔ پروگرام کا تجزیہ کرنے والی سائبرسیکیوریٹی فرم کاسپرسکی کے مطابق، پروگرام، کرائی وائپر، فی الحال روسی تنظیموں کو نشانہ بناتا ہے لیکن آسانی سے دیگر ممالک میں کمپنیوں اور تنظیموں کے خلاف استعمال کیا جا سکتا ہے۔

کمپنی کے محققین نے تجزیے میں بتایا کہ کیمو فلاجڈ وائپر پروگرام رینسم ویئر کے استعمال کا رجحان جاری رکھے ہوئے ہے - جان بوجھ کر یا نادانستہ طور پر - ایک وائپر کے طور پر۔

"ماضی میں، ہم نے کچھ میلویئر تناؤ دیکھا ہے جو حادثاتی طور پر وائپر بن گئے - ان کے تخلیق کاروں کی غلطیوں کی وجہ سے جنہوں نے انکرپشن الگورتھم کو ناقص طور پر لاگو کیا،" محققین لکھا "تاہم، اس بار ایسا نہیں ہے: ہمارے ماہرین کو یقین ہے کہ حملہ آوروں کا بنیادی مقصد مالی فائدہ نہیں، بلکہ ڈیٹا کو تباہ کرنا ہے۔ فائلیں واقعی انکرپٹڈ نہیں ہیں۔ اس کے بجائے، ٹروجن انہیں چھدم تصادفی طور پر تیار کردہ ڈیٹا کے ساتھ اوور رائٹ کر دیتا ہے۔"

مالویئر جو اہم ڈیٹا کو حذف کرتا ہے، جسے وائپرز کہا جاتا ہے، نجی اور سرکاری دونوں شعبے کے لیے ایک اہم خطرہ بن گیا ہے۔ وائپرز ہو چکے ہیں۔ یوکرین کے ساتھ تنازعہ میں روسی ایجنسیوں کی طرف سے استعمال کیا جاتا ہے ملک کی اہم خدمات اور ان کے دفاعی ہم آہنگی میں خلل ڈالنے کی کوشش میں۔ ایک دہائی قبل، ایران نے شمعون وائپر پروگرام کو خفیہ کرنے اور بیکار بنانے کے لیے استعمال کیا۔ 30,000،XNUMX سے زیادہ ہارڈ ڈرائیوز حریف ملک سعودی عرب کی سرکاری تیل کمپنی سعودی آرامکو پر۔

تازہ ترین حملے میں ایک روسی تنظیم کو نشانہ بنایا گیا، کاسپرسکی کے محققین نے اپنے تجزیے میں کہا کہ یہ یوکرائنی افواج یا متعصب ہیکرز کی طرف سے انتقامی کارروائی ہو سکتی ہے۔

سائبرسیکیوریٹی فرم ٹریلکس کے میلویئر ریسرچر میکس کرسٹن نے کہا، "کمبل کور کو دیکھتے ہوئے جو استعمال کیا جاتا ہے - رینسم ویئر ہونے کا بہانہ کرتے ہوئے - اور ایک سادہ وائپر لکھنے میں جو محدود وقت لگتا ہے، ایسا لگتا ہے کہ اس حملے کے پیچھے کوئی بھی ہو سکتا ہے۔" "کاسپرسکی اشارہ کرتا ہے کہ متاثرین روسی ہیں، یعنی روس مخالف کارکن، یوکرائن کے حامی کارکن، بطور ریاست یوکرین، یا یوکرین کی حمایت کرنے والی ریاستیں، اس کے پیچھے ہو سکتی ہیں، جیسا کہ میں دیکھ رہا ہوں۔"

جعلی رینسم ویئر یا سست مجرم؟

کرائی وائپر تازہ ترین اٹیک پروگرام ہے جو بظاہر رینسم ویئر لگتا ہے لیکن اصل میں اس کی بجائے وائپر کا کام کرتا ہے۔ اگرچہ ماضی کی مثالیں اکثر ڈیولپر کی غلطی کی وجہ سے ڈیٹا کو حذف کر دیتی ہیں، کرائی وائپر کے تخلیق کار نے اس کی فعالیت کا ارادہ کیا۔ کاسپرسکی کے روسی تجزیہ کا ترجمہ.

"مالویئر کے نمونے کی جانچ کرنے کے بعد، ہمیں پتہ چلا کہ یہ ٹروجن، اگرچہ یہ رینسم ویئر کے طور پر چھپاتا ہے اور ڈیٹا کو 'ڈیکرپٹ' کرنے کے لیے شکار سے پیسے بٹورتا ہے، لیکن حقیقت میں انکرپٹ نہیں کرتا، بلکہ جان بوجھ کر متاثرہ سسٹم میں ڈیٹا کو تباہ کرتا ہے،" کاسپرسکی نے کہا۔ . "مزید برآں، ٹروجن کے پروگرام کوڈ کے تجزیے سے معلوم ہوا کہ یہ ڈویلپر کی غلطی نہیں تھی، بلکہ اس کا اصل ارادہ تھا۔"

کرائی وائپر پہلا رینسم ویئر پروگرام نہیں ہے جس نے ڈیٹا کو ڈکرپشن کی اجازت دیے بغیر اوور رائٹ کیا ہے۔ حال ہی میں دریافت ہونے والا ایک اور پروگرام، W32/Filecoder.KY!tr بھی فائلوں کو اوور رائٹ کرتا ہے، لیکن اس صورت میں، خراب پروگرامنگ کی وجہ سے، ڈیٹا کو بازیافت نہیں کیا جا سکتا۔

"رینسم ویئر کو جان بوجھ کر وائپر میں تبدیل نہیں کیا گیا تھا۔ اس کے بجائے، کوالٹی اشورینس کی کمی کی وجہ سے ایک ایسا نمونہ نکلا جو صحیح طریقے سے کام نہیں کرتا تھا،" Fortinet کے محقق Gergely Revay ایک تجزیہ میں کہا. "اس خامی کے ساتھ مسئلہ یہ ہے کہ رینسم ویئر کے ڈیزائن کی سادگی کی وجہ سے اگر پروگرام کریش ہو جاتا ہے - یا یہاں تک کہ بند ہو جاتا ہے - تو انکرپٹڈ فائلوں کو بازیافت کرنے کا کوئی طریقہ نہیں ہے۔"

پچھلے رینسم ویئر سے مماثلتیں۔

کرائی وائپر میلویئر کا ایک اصل ٹکڑا معلوم ہوتا ہے، لیکن تباہ کن میلویئر اسی سیوڈو رینڈم نمبر جنریٹر (PRNG) الگورتھم کو IsaacWiper کے طور پر استعمال کرتا ہے، یہ پروگرام یوکرین میں عوامی شعبے کی تنظیموں پر حملہ کرنے کے لیے استعمال کیا جاتا ہے، جبکہ ایسا لگتا ہے کہ کرائی وائپر نے ایک گروپ پر حملہ کیا ہے۔ روسی فیڈریشن، کاسپرسکی نے روسی تجزیہ بیان کیا۔

Xorist ransomware کی فیملی اور Trojan-Ransom.MSIL.Agent فیملی کی کئی اقسام نے کرائی وائپر کے ڈیٹا کی بدعنوانی کے بعد چھوڑے گئے نوٹ میں وہی ای میل ایڈریس استعمال کیا، لیکن Trellix کے Kersten کا خیال ہے کہ اس کا مقصد الجھن پیدا کرنا ہو سکتا ہے۔

"مختلف نمونوں میں تاوان کے نوٹ میں ای میل ایڈریس کا دوبارہ استعمال ان تجزیہ کاروں کو ہٹانے کے لیے کیا جا سکتا ہے جو نقطوں کو جوڑنا چاہتے ہیں، یا یہ ایک حقیقی غلطی ہو سکتی ہے،" وہ کہتے ہیں۔ "مؤخر الذکر، میرے خیال میں، کم امکان ہے کیونکہ میلویئر کے کوڈ میں کچھ غلطیاں ہیں جو ظاہر کرتی ہیں کہ اس کی اچھی طرح جانچ نہیں کی گئی ہے، جس سے مجھے لگتا ہے کہ تخلیق کار [یا تخلیق کاروں] وقت کے دباؤ میں تھے۔"

ماضی میں، رینسم ویئر کے ذریعے نشانہ بننے والی کمپنیاں اس فیصلے پر پریشان ہیں کہ آیا رینسم ویئر گروپس کو بیک اپ اور آف لائن کاپیاں استعمال کرنے کے لیے ادائیگی کرنا ہے یا نہیں کرپٹو رینسم ویئر ایونٹ سے بازیابی کے لیے۔

"کرائی وائپر خود کو ایک رینسم ویئر پروگرام کے طور پر رکھتا ہے، یعنی یہ دعویٰ کرتا ہے کہ متاثرہ کی فائلیں انکرپٹڈ ہیں اور، اگر تاوان ادا کیا جاتا ہے، تو انہیں بحال کیا جا سکتا ہے۔ تاہم، یہ ایک دھوکہ ہے: حقیقت میں، ڈیٹا کو تباہ کر دیا گیا ہے اور اسے واپس نہیں کیا جا سکتا، "کاسپرسکی نے کہا۔ "کرائی وائپر کی سرگرمی ایک بار پھر ظاہر کرتی ہے کہ تاوان کی ادائیگی فائلوں کی بازیابی کی ضمانت نہیں دیتی۔"

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا