रूबीकार्प बॉटनेट

RUBYCARP नामक एक खतरनाक समूह को क्रिप्टो माइनिंग, वितरित इनकार-सेवा (DDoS) और फ़िशिंग हमलों के संचालन के लिए एक लगातार बॉटनेट संचालित करते हुए पाया गया है। शोधकर्ताओं का मानना है कि RUBYCARP का मूल रोमानियाई है।

कम से कम एक दशक से सक्रिय, RUBYCARP अपने बॉटनेट का उपयोग मुख्य रूप से वित्तीय लाभ के लिए करता है। उनके काम करने के तरीके में विभिन्न सार्वजनिक शोषण और क्रूर बल तकनीकों के माध्यम से बॉटनेट को तैनात करना शामिल है। समूह सार्वजनिक और निजी IRC नेटवर्क दोनों के माध्यम से संचार करता है।

शुरुआती निष्कर्षों से पता चलता है कि RUBYCARP और आउटलॉ नामक एक अन्य ख़तरनाक इकाई के बीच संभावित ओवरलैप है। आउटलॉ का क्रिप्टो माइनिंग और ब्रूट-फ़ोर्स हमलों में शामिल होने का एक ट्रैक रिकॉर्ड है, लेकिन हाल ही में इसने अपने लक्ष्यों के दायरे को व्यापक बनाने के लिए फ़िशिंग और स्पीयर-फ़िशिंग अभियानों पर ध्यान केंद्रित किया है।

रूबीकार्प अपने हमले के तरीकों का विस्तार कर सकता है

ये फ़िशिंग ईमेल अक्सर प्राप्तकर्ताओं को निजी तौर पर स्वामित्व वाली जानकारी, जैसे लॉगिन क्रेडेंशियल या वित्तीय विवरण प्रकट करने के लिए लुभाते हैं। RUBYCARP की रणनीति का एक और उल्लेखनीय पहलू लक्ष्य वातावरण में घुसपैठ करने के लिए शेलबॉट (जिसे पर्लबॉट के रूप में भी जाना जाता है) नामक मैलवेयर को नियोजित करना शामिल है। इसके अतिरिक्त, उन्हें लारवेल फ्रेमवर्क (जैसे, CVE-2021-3129) के भीतर सुरक्षा कमजोरियों का फायदा उठाते हुए देखा गया है, एक तरीका जिसका उपयोग एंड्रॉक्सघोस्ट जैसे अन्य खतरे वाले अभिनेताओं द्वारा भी किया जाता है।

बॉटनेट के पैमाने का विस्तार करने के लिए हमलावरों द्वारा अपनी प्रारंभिक पहुंच तकनीकों की श्रृंखला को व्यापक बनाने के संकेत में, शोधकर्ताओं ने वर्डप्रेस साइटों के सामान्य रूप से प्रयुक्त उपयोगकर्ता नामों और पासवर्डों के माध्यम से समझौता किए जाने के उदाहरणों का खुलासा किया है।

प्रवेश प्राप्त करने पर, पर्ल शेलबॉट नामक खतरे के आधार पर एक बैकडोर प्रत्यारोपित किया जाता है। इसके बाद, पीड़ित का सर्वर एक IRC (इंटरनेट रिले चैट) सर्वर से जुड़ जाता है जो कमांड-एंड-कंट्रोल (C2) के रूप में कार्य करता है, जो बड़े बॉटनेट में एकीकृत होता है।

बॉटनेट का आकार 600 होस्ट से अधिक होने का अनुमान है, जिसमें IRC सर्वर ('chat.juicessh.pro') 1 मई, 2023 को स्थापित किया जाएगा। यह सामान्य संचार के लिए, साथ ही बॉटनेट को व्यवस्थित करने और क्रिप्टोमाइनिंग कार्यों के समन्वय के लिए IRC पर बहुत अधिक निर्भर करता है।

इसके अलावा, समूह के सदस्यों को #cristi नामक एक अंडरनेट IRC चैनल के माध्यम से संवाद करते हुए पहचाना गया है। इसके अतिरिक्त, वे संभावित नए होस्ट की पहचान करने के लिए एक मास स्कैनर टूल का उपयोग करते हैं।

रूबीकार्प साइबर अपराधी कई धोखाधड़ी आय स्रोतों का फायदा उठाते हैं

साइबर खतरे के परिदृश्य में रूबीकार्प का उभरना कोई आश्चर्य की बात नहीं है, क्योंकि वे अपने बॉटनेट का उपयोग करके विभिन्न अवैध आय स्रोतों तक पहुंचने की क्षमता रखते हैं, जिसमें क्रिप्टोमाइनिंग और क्रेडिट कार्ड नंबर प्राप्त करने के उद्देश्य से फ़िशिंग ऑपरेशन शामिल हैं।

जैसा कि शोधकर्ताओं ने खुलासा किया है, क्रिप्टोमाइनिंग अपने शुरुआती दिनों से ही साइबर अपराध समूह की प्राथमिक प्रेरणा रही है। जबकि समूह ने अपनी रणनीति विकसित की है, फ़िशिंग और DDoS हमलों जैसी गतिविधियों में शाखाएँ बनाई हैं, क्रिप्टोमाइनिंग अपने पूरे इतिहास में एक निरंतर खोज बनी हुई है।

हालांकि ऐसा लगता है कि क्रेडिट कार्ड से एकत्रित डेटा का उपयोग मुख्य रूप से आक्रमणकारी बुनियादी ढांचे को प्राप्त करने के लिए किया जाता है, लेकिन इसके मुद्रीकरण के वैकल्पिक साधन, जैसे कि साइबर अपराध के अंतर्गत जानकारी को बेचना, भी संभव हैं।

इसके अलावा, ख़तरा पैदा करने वाले लोग साइबर हथियार बनाने और बेचने में लगे हुए हैं, जो कि एक अपेक्षाकृत असामान्य अभ्यास है। पिछले कुछ वर्षों में एकत्रित किए गए उपकरणों के विशाल शस्त्रागार के साथ, उनके पास अपने कार्यों को अंजाम देने में महत्वपूर्ण लचीलापन है।