ScRansom Ransomware

कॉस्मिकबीटल नामक खतरनाक व्यक्ति ने स्क्रैनसम नामक एक नया कस्टम रैनसमवेयर वैरिएंट पेश किया है, जो विशेष रूप से यूरोप, एशिया, अफ्रीका और दक्षिण अमेरिका में छोटे और मध्यम आकार के व्यवसायों (एसएमबी) को लक्षित करता है। इसके अतिरिक्त, कॉस्मिकबीटल पर रैनसमहब समूह के लिए एक सहयोगी के रूप में काम करने का संदेह है।

पहले स्कारैब रैनसमवेयर का इस्तेमाल करने वाले कॉस्मिकबीटल ने अब स्क्रैनसम का इस्तेमाल करना शुरू कर दिया है, जिसका विकास जारी है। हालांकि रैनसमवेयर के मामले में यह सबसे आगे नहीं है, लेकिन फिर भी यह समूह उल्लेखनीय लक्ष्यों को खतरे में डालने में कामयाब रहा है।

कॉस्मिनबीटल विविध क्षेत्रों को लक्ष्य करता है

स्क्रैन्सम हमलों ने विनिर्माण, फार्मास्यूटिकल्स, कानूनी, शिक्षा, स्वास्थ्य सेवा, प्रौद्योगिकी, आतिथ्य, अवकाश, वित्तीय सेवा और क्षेत्रीय सरकारों सहित कई क्षेत्रों को निशाना बनाया है।

कॉस्मिकबीटल, जिसे नोनेम के नाम से भी जाना जाता है, अपने खतरनाक टूलकिट, स्पेसकॉलन के लिए सबसे ज्यादा जाना जाता है, जिसका इस्तेमाल पहले दुनिया भर के पीड़ितों को स्कारैब रैनसमवेयर पहुंचाने के लिए किया जाता था। समूह को लीक हुए लॉकबिट बिल्डर के साथ प्रयोग करने के लिए भी जाना जाता है, जो नवंबर 2023 की शुरुआत में फिरौती नोटों और लीक साइटों पर कुख्यात लॉकबिट रैनसमवेयर समूह का प्रतिरूपण करने का प्रयास करता है।

हमलावरों की पहचान और मूल अभी भी अस्पष्ट है। एक पुराने सिद्धांत, जिसे अब असंभव माना जाता है, ने सुझाव दिया कि वे तुर्की मूल के हो सकते हैं क्योंकि ScHackTool नामक एक अन्य उपकरण में एक कस्टम एन्क्रिप्शन विधि पाई गई है।

साइबर अपराधियों द्वारा कई कमजोरियों का फायदा उठाया गया

लक्ष्य वातावरण में घुसपैठ करने के लिए ब्रूट-फोर्स हमलों और कई ज्ञात सुरक्षा कमजोरियों (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475, और CVE-2023-27532) का फायदा उठाते हुए हमला श्रृंखलाएं देखी गई हैं।

घुसपैठ में सुरक्षा प्रक्रियाओं को समाप्त करने और डेल्फी-आधारित स्क्रैनसम रैनसमवेयर को तैनात करने से पहले पता लगाने से बचने के लिए रीपर, डार्कसाइड और रियलब्लाइंडिंग ईडीआर जैसे विभिन्न उपकरणों का उपयोग करना भी शामिल है। स्क्रैनसम में एन्क्रिप्शन प्रक्रिया को तेज करने के लिए आंशिक एन्क्रिप्शन की सुविधा है और इसमें एक 'ERASE' मोड शामिल है जो फ़ाइलों को एक स्थिर मान के साथ अधिलेखित करता है, जिससे उन्हें पुनर्प्राप्त नहीं किया जा सकता है।

रैनसमहब से संभावित संबंध

रैनसमहब से लिंक इन्फोसेक शोधकर्ताओं द्वारा किए गए अवलोकन से उत्पन्न होता है, जिन्होंने पाया कि स्क्रैनसम और रैनसमहब पेलोड एक ही मशीन पर एक सप्ताह के भीतर तैनात किए गए थे। स्क्रैच से कस्टम रैनसमवेयर विकसित करने की चुनौतियों का सामना करते हुए, कॉस्मिकबीटल ने लॉकबिट की प्रतिष्ठा का लाभ उठाने का प्रयास किया। इस रणनीति का उद्देश्य उनके रैनसमवेयर में खामियों को छिपाना और पीड़ितों द्वारा फिरौती का भुगतान करने की संभावना को बढ़ाना हो सकता है।

रैनसमवेयर ऑपरेटर्स ने अपने नुकसानदायक टूल अपडेट किए

जुलाई 2024 से, सिकाडा3301 रैनसमवेयर (जिसे रिपेलेंट स्कॉर्पियस के नाम से भी जाना जाता है) से जुड़े खतरे वाले अभिनेताओं को उनके एन्क्रिप्टर के अपडेटेड वर्जन का उपयोग करते हुए देखा गया है। इस नए संस्करण में एक कमांड-लाइन तर्क, --no-note शामिल है, जो एन्क्रिप्टर को सिस्टम में फिरौती नोट लिखने से रोकता है।

इसके अतिरिक्त, अपडेट किए गए एन्क्रिप्टर में अब बाइनरी के भीतर हार्ड-कोडेड उपयोगकर्ता नाम या पासवर्ड नहीं होते हैं। हालाँकि, यह अभी भी मौजूदा क्रेडेंशियल्स का उपयोग करके PsExec को निष्पादित कर सकता है, एक तकनीक जिसे हाल ही में मॉर्फिसेक द्वारा नोट किया गया है। दिलचस्प बात यह है कि इन्फोसेक शोधकर्ताओं ने ऐसे सबूतों का पता लगाया है जो बताते हैं कि समूह के पास पुराने समझौतों का डेटा हो सकता है जो कि Cicada3301 नाम के तहत काम करने से पहले हुआ था।

इससे यह संभावना बढ़ जाती है कि खतरा पैदा करने वाला व्यक्ति पहले किसी अन्य रैनसमवेयर ब्रांड के तहत काम कर चुका हो या उसने अन्य रैनसमवेयर समूहों से डेटा प्राप्त किया हो।