Osiris रैंसमवेयर परिवार
नवंबर 2025 में दक्षिण-पूर्व एशिया के एक प्रमुख खाद्य सेवा फ्रैंचाइज़ संचालक पर हुए हमले के बाद, साइबर सुरक्षा शोधकर्ताओं ने ओसिरिस नामक एक अज्ञात रैंसमवेयर परिवार का खुलासा किया है। विश्लेषण से पता चलता है कि यह रैंसमवेयर का एक नया विकसित प्रकार है और दिसंबर 2016 में देखे गए लॉकी से उत्पन्न ओसिरिस वेरिएंट से इसका कोई संबंध नहीं है। डेवलपर्स की पहचान अभी तक अज्ञात है, और इस बात की कोई पुष्टि नहीं है कि यह मैलवेयर रैंसमवेयर-एज़-ए-सर्विस ऑपरेशन के हिस्से के रूप में पेश किया जा रहा है।
विषयसूची
आक्रमण श्रृंखला और प्रारंभिक समझौता
पीड़ित नेटवर्क पर सबसे पहले पुष्टि की गई दुर्भावनापूर्ण गतिविधि में रैंसमवेयर तैनाती से पहले संवेदनशील डेटा की चोरी शामिल थी। हमलावरों ने Rclone का उपयोग करके वासाबी पर होस्ट किए गए क्लाउड स्टोरेज बकेट में जानकारी स्थानांतरित की। इस चरण के बाद, नियंत्रण स्थापित करने, नेटवर्क में आगे बढ़ने और एन्क्रिप्शन के लिए वातावरण तैयार करने के लिए चरणबद्ध तरीके से टूलिंग शुरू की गई।
जीवनयापन के लिए विभिन्न प्रकार की प्राकृतिक संसाधनों और दोहरे उपयोग वाली सुविधाओं का लाभ उठाया गया, साथ ही दूरस्थ प्रबंधन घटकों का भी उपयोग किया गया, ताकि उन्हें सामान्य प्रशासनिक गतिविधियों में एकीकृत किया जा सके और प्रारंभिक पहचान को कम से कम किया जा सके।
INC रैंसमवेयर ऑपरेशनों से संदिग्ध संबंध
कई संकेत बताते हैं कि हमलावरों का संबंध पहले INC रैंसमवेयर (जिसे वारबल के नाम से भी जाना जाता है) से जुड़े हमलावरों से हो सकता है। खास तौर पर, हमलावरों ने Mimikatz के उसी फ़ाइल नाम (kaz.exe) वाले संस्करण का इस्तेमाल किया, जो पहले INC से संबंधित घटनाओं में देखा गया था। इसके अलावा, डेटा निकालने की विधि और तकनीकें उस सिस्टम से मिलती-जुलती हैं, हालांकि अभी तक इसकी पुष्टि नहीं हो पाई है।
POORTRY ड्राइवर और BYOVD रणनीति
इस घुसपैठ की एक प्रमुख विशेषता POORTRY नामक एक दुर्भावनापूर्ण ड्राइवर का उपयोग था, जिसका इस्तेमाल ब्रिंग-योर-ओन-वल्नरेबल-ड्राइवर (BYOVD) शैली के हमले में एंडपॉइंट सुरक्षा को निष्क्रिय करने के लिए किया गया था। वैध लेकिन दोषपूर्ण ड्राइवरों पर निर्भर पारंपरिक BYOVD ऑपरेशनों के विपरीत, POORTRY एक विशेष रूप से डिज़ाइन किया गया ड्राइवर है जो विशेषाधिकारों को बढ़ाने और सुरक्षा उपकरणों को समाप्त करने के लिए बनाया गया है।
सुरक्षा सॉफ़्टवेयर को निष्क्रिय करने के लिए कमजोर ड्राइवरों को लोड करने वाले एक ज्ञात यूटिलिटी, KillAV का उपयोग करके वातावरण को और तैयार किया गया था। रिमोट डेस्कटॉप प्रोटोकॉल को भी सक्षम किया गया था, संभवतः निरंतर इंटरैक्टिव एक्सेस को सुविधाजनक बनाने के लिए।
ओसिरिस रैंसमवेयर की क्षमताएं
ओसिरिस को एक परिपक्व और प्रभावी एन्क्रिप्शन पेलोड के रूप में वर्णित किया गया है, जिसे संभवतः अनुभवी हमलावरों द्वारा संचालित किया जाता है। यह एक हाइब्रिड क्रिप्टोग्राफिक मॉडल का उपयोग करता है और प्रत्येक फ़ाइल के लिए एक अद्वितीय एन्क्रिप्शन कुंजी उत्पन्न करता है, जिससे रिकवरी के प्रयास काफी जटिल हो जाते हैं। यह रैंसमवेयर व्यापक कॉन्फ़िगरेशन का समर्थन करता है, जिससे ऑपरेटर पीड़ित वातावरण के अनुसार निष्पादन को अनुकूलित कर सकते हैं।
प्रमुख कार्यात्मक विशेषताओं में शामिल हैं:
- सेवाओं को रोकना, प्रक्रियाओं को समाप्त करना और बैकअप या रिकवरी तंत्र को निष्क्रिय करना।
- लक्षित फ़ोल्डरों और फ़ाइल एक्सटेंशन को परिभाषित करना, और प्रक्रिया पूरी होने पर एक अनुकूलित फिरौती नोट तैयार करना।
डिफ़ॉल्ट रूप से, ओसिरिस को उत्पादकता सॉफ़्टवेयर, ईमेल सर्वर, ब्राउज़र, टेक्स्ट एडिटर, वॉल्यूम शैडो कॉपी और वीम जैसे एंटरप्राइज़ बैकअप प्लेटफ़ॉर्म से जुड़े प्रोसेस और सेवाओं को आक्रामक रूप से समाप्त करने के लिए कॉन्फ़िगर किया गया है।
घुसपैठ में सहायता के लिए प्रयुक्त उपकरण
रैनसमवेयर के अलावा, हमलावरों ने ऑपरेशनल कंट्रोल बनाए रखने के लिए जासूसी, पार्श्व गतिविधि और रिमोट मैनेजमेंट यूटिलिटीज के एक टूलकिट का इस्तेमाल किया। घुसपैठ के दौरान देखे गए टूल्स में शामिल थे:
- नेटवर्क की खोज और निष्पादन के लिए नेटस्कैन और नेटएक्सेक का उपयोग किया जाता है।
- निरंतर रिमोट एक्सेस के लिए मेशएजेंट और रस्टडेस्क रिमोट डेस्कटॉप एप्लिकेशन का एक अनुकूलित बिल्ड।
- क्लाउड स्टोरेज में स्वचालित डेटा एक्सफ़िल्ट्रेशन के लिए Rclone का उपयोग।
जबरन वसूली के बदलते परिदृश्य पर इसके प्रभाव
हालांकि एन्क्रिप्टिंग रैंसमवेयर संगठनों के लिए एक महत्वपूर्ण खतरा बना हुआ है, यह घटना बहुआयामी जबरन वसूली अभियानों की ओर बढ़ते व्यापक विकास को उजागर करती है। डेटा चोरी, दुर्भावनापूर्ण ड्राइवरों के माध्यम से सुरक्षा से बचने और एन्क्रिप्शन रहित या हाइब्रिड हमलों के बढ़ते प्रचलन पर जोर देने से खतरे का दायरा बढ़ रहा है। परिणामस्वरूप, रैंसमवेयर एक व्यापक, अधिक जटिल जबरन वसूली तंत्र का मात्र एक घटक बन रहा है, जिसके लिए समान रूप से अनुकूल रक्षात्मक रणनीतियों की आवश्यकता है।
