EncryptRAT

एनक्रिप्टहब के नाम से जाना जाने वाला वित्तीय रूप से प्रेरित खतरा अभिनेता सूचना चुराने वालों और रैनसमवेयर को तैनात करने के लिए उन्नत फ़िशिंग अभियानों को सक्रिय रूप से संचालित कर रहा है। इसके अतिरिक्त, समूह एनक्रिप्टआरएटी नामक एक नए ख़तरनाक उपकरण पर काम कर रहा है, जो साइबर अपराध परिदृश्य में इसके निरंतर विकास का संकेत देता है।

लोकप्रिय अनुप्रयोगों को लक्षित करना और PPI सेवाओं का उपयोग करना

एन्क्रिप्टहब को पीड़ितों के सिस्टम में घुसपैठ करने के लिए व्यापक रूप से इस्तेमाल किए जाने वाले अनुप्रयोगों के ट्रोजन संस्करण वितरित करते हुए देखा गया है। समूह अपने मैलवेयर अभियानों की पहुंच को व्यापक बनाने के लिए लैबइंस्टॉल जैसी तृतीय-पक्ष पे-पर-इंस्टॉल (पीपीआई) सेवाओं का भी लाभ उठाता है।

परिचालन सुरक्षा गलतियाँ और शोषण उपयोग

साइबर सुरक्षा शोधकर्ताओं ने एनक्रिप्टहब को एक हैकिंग समूह के रूप में पहचाना है जो अक्सर परिचालन सुरक्षा संबंधी गलतियाँ करता है। इन गलतियों के बावजूद, समूह व्यापक रूप से ज्ञात सुरक्षा कमज़ोरियों के लिए अपने हमलों में सफलतापूर्वक शोषण को एकीकृत करता है, जिससे वे एक सतत खतरा बन जाते हैं।

उभरता ख़तरा: LARVA-208 और मल्टी-चैनल हमले

माना जाता है कि एनक्रिप्टहब को स्विस साइबर सुरक्षा फर्म LARVA-208 के नाम से भी ट्रैक करती है, और यह जून 2024 में सक्रिय हो गया है। यह समूह पीड़ितों को धोखा देकर रिमोट मॉनिटरिंग और मैनेजमेंट (RMM) सॉफ्टवेयर इंस्टॉल करने के लिए एसएमएस फिशिंग (स्मिशिंग) और वॉयस फिशिंग (विशिंग) सहित विभिन्न आक्रमण विधियों का उपयोग करता है।

प्रमुख रैनसमवेयर समूहों के साथ संबद्धता

एन्क्रिप्टहब के रैनसमहब और ब्लैकसूट रैनसमवेयर समूहों से मजबूत संबंध हैं। पिछले नौ महीनों में, इसने उन्नत सोशल इंजीनियरिंग तकनीकों का उपयोग करके कई उद्योगों में 618 से अधिक उच्च-मूल्य वाले लक्ष्यों को खतरे में डाला है। एक आम रणनीति में VPN क्रेडेंशियल चुराने के लिए डिज़ाइन की गई फ़िशिंग वेबसाइट शामिल हैं, जिसके बाद पीड़ितों को उनके विवरण दर्ज करने के लिए मनाने के लिए IT समर्थन का दिखावा करने वाला कॉल किया जाता है। ऐसे मामलों में जहां कॉल का उपयोग नहीं किया जाता है, नकली Microsoft Teams लिंक चारा के रूप में काम करते हैं।

बुलेटप्रूफ होस्टिंग और मैलवेयर परिनियोजन

पता लगाने से बचने के लिए, एनक्रिप्टहब फ़िशिंग साइटों को यालिशैंड जैसे बुलेटप्रूफ होस्टिंग प्रदाताओं पर होस्ट करता है। एक बार पहुँच प्राप्त होने के बाद, हमलावर फ़िकल , स्टीलसी और रादामंथिस जैसे चोरी करने वाले मैलवेयर को स्थापित करने के लिए पावरशेल स्क्रिप्ट निष्पादित करता है। ज़्यादातर मामलों में, अंतिम उद्देश्य रैनसमवेयर को तैनात करना और फिरौती का भुगतान करना होता है।

ट्रोजनकृत अनुप्रयोग एक प्रमुख प्रवेश बिंदु के रूप में

एक और आम तौर पर इस्तेमाल की जाने वाली विधि में मैलवेयर को वैध सॉफ़्टवेयर के रूप में छिपाना शामिल है। एन्क्रिप्टहब QQ टॉक, QQ इंस्टॉलर, वीचैट, डिंगटॉक, वूवी मीटिंग, गूगल मीट, माइक्रोसॉफ्ट विजुअल स्टूडियो 2022 और पालो ऑल्टो ग्लोबल प्रोटेक्ट जैसे एप्लिकेशन के नकली संस्करण वितरित कर रहा है। एक बार इंस्टॉल हो जाने के बाद, ये नकली एप्लिकेशन एक बहु-चरणीय प्रक्रिया शुरू करते हैं, जो अंततः ब्राउज़र कुकीज़ और अन्य संवेदनशील डेटा एकत्र करने के लिए केमेटियन स्टीलर जैसे असुरक्षित पेलोड वितरित करते हैं।

लैबइंस्टाल्स: मैलवेयर वितरण में एक महत्वपूर्ण तत्व

कम से कम 2 जनवरी, 2025 से, एनक्रिप्टहब ने लैबइंस्टाल्स पर भरोसा किया है, जो एक PPI सेवा है जो शुल्क के लिए थोक मैलवेयर इंस्टॉलेशन प्रदान करती है। कीमतें 100 लोड के लिए $10 से लेकर 10,000 लोड के लिए $450 तक होती हैं। एनक्रिप्टहब ने रूसी भाषी भूमिगत मंच पर सकारात्मक प्रतिक्रिया देकर सेवा के अपने उपयोग की पुष्टि की, यहां तक कि सबूत के तौर पर एक स्क्रीनशॉट भी साझा किया। इससे पता चलता है कि अभिनेता अपने संचालन को अधिक कुशलता से बढ़ाने के लिए वितरण को आउटसोर्स कर रहा है।

एन्क्रिप्टआरएटी: साइबर अपराध में अगला विकास

एन्क्रिप्टहब सक्रिय रूप से एन्क्रिप्टआरएटी विकसित कर रहा है, जो एक कमांड-एंड-कंट्रोल (सी2) पैनल है जिसे संक्रमित सिस्टम को प्रबंधित करने, रिमोट कमांड निष्पादित करने और चोरी किए गए डेटा तक पहुंचने के लिए डिज़ाइन किया गया है। कुछ सबूत बताते हैं कि समूह इस उपकरण का व्यवसायीकरण करने की योजना बना रहा है, जिससे व्यवसायों और व्यक्तियों के लिए इसका खतरा बढ़ सकता है।

सतर्कता और सक्रिय बचाव की आवश्यकता

एन्क्रिप्टहब का निरंतर अनुकूलन और विकास संगठनों के लिए बहु-स्तरीय सुरक्षा रणनीतियों को अपनाने की तत्काल आवश्यकता को उजागर करता है। इस बढ़ते साइबर खतरे से उत्पन्न जोखिमों को कम करने के लिए निरंतर निगरानी, सक्रिय रक्षा उपाय और उपयोगकर्ता जागरूकता प्रशिक्षण आवश्यक हैं।