शार्पराइनो चूहा
हंटर्स इंटरनेशनल रैनसमवेयर समूह ने आईटी कर्मचारियों को निशाना बनाने और कॉर्पोरेट नेटवर्क में घुसपैठ करने के लिए SharpRhino नामक एक नया C# रिमोट एक्सेस ट्रोजन (RAT) विकसित किया है। यह मैलवेयर प्रारंभिक संक्रमण, समझौता किए गए सिस्टम पर विशेषाधिकार वृद्धि, पॉवरशेल कमांड के निष्पादन और अंततः रैनसमवेयर की तैनाती की सुविधा प्रदान करता है।
साइबर सुरक्षा शोधकर्ताओं ने पहचान की है कि मैलवेयर एक टाइपोस्क्वेटिंग साइट के माध्यम से फैलाया जा रहा है, जो आईटी पेशेवरों द्वारा उपयोग किए जाने वाले लोकप्रिय नेटवर्किंग टूल एंग्री आईपी स्कैनर की वेबसाइट की नकल करता है।
विषयसूची
पिछले साइबर अपराध समूह का संभावित पुनःब्रांडिंग
हंटर्स इंटरनेशनल , 2023 के अंत में शुरू किया गया एक रैनसमवेयर ऑपरेशन, उनके कोड में समानताओं के कारण हाइव का रीब्रांड होने का संदेह है। इसके उल्लेखनीय पीड़ितों में ऑस्टल यूएसए, एक अमेरिकी नौसेना ठेकेदार, जापानी ऑप्टिक्स दिग्गज होया, इंटीग्रिस हेल्थ और फ्रेड हच कैंसर सेंटर शामिल हैं, जो नैतिक सीमाओं के लिए समूह की अवहेलना को उजागर करते हैं।
2024 में, समूह ने दुनिया भर के संगठनों (सीआईएस क्षेत्र को छोड़कर) पर 134 रैनसमवेयर हमलों की जिम्मेदारी ली, जिससे यह इस वर्ष दसवां सबसे सक्रिय रैनसमवेयर समूह बन गया।
शार्पराइनो RAT कैसे काम करता है?
SharpRhino को डिजिटल रूप से हस्ताक्षरित 32-बिट इंस्टॉलर ('ipscan-3.9.1-setup.exe') के रूप में वितरित किया जाता है, जिसमें संक्रमण प्रक्रिया के लिए आवश्यक अतिरिक्त फ़ाइलों वाला एक स्व-निष्कर्षण, पासवर्ड-संरक्षित 7z संग्रह शामिल होता है। स्थापना के बाद, सॉफ़्टवेयर दृढ़ता के लिए Windows रजिस्ट्री को बदल देता है और Microsoft.AnyKey.exe के लिए एक शॉर्टकट बनाता है, जो Microsoft Visual Studio बाइनरी है जिसका इस संदर्भ में दुरुपयोग किया जाता है।
इंस्टॉलर 'LogUpdate.bat' को भी हटाता है, जो डिवाइस पर PowerShell स्क्रिप्ट चलाता है ताकि C# कोड को मेमोरी में संकलित किया जा सके, जिससे चुपके से मैलवेयर निष्पादित हो सके। अतिरेक के लिए, इंस्टॉलर दो निर्देशिकाएँ बनाता है: 'C:\ProgramData\Microsoft: WindowsUpdater24' और 'LogUpdateWindows', जिनमें से दोनों का उपयोग कमांड और कंट्रोल (C2) संचार के लिए किया जाता है।
मैलवेयर में दो हार्डकोडेड कमांड हैं: 'देरी', जो कमांड प्राप्त करने के लिए अगले POST अनुरोध के लिए टाइमर सेट करता है, और 'बाहर निकलें', जो इसके संचार को समाप्त करता है। विश्लेषण से पता चलता है कि मैलवेयर होस्ट पर PowerShell कमांड निष्पादित कर सकता है, जिससे यह विभिन्न हानिकारक क्रियाएं कर सकता है।
साइबर अपराधी वैध उपकरणों की नकल करके नकली साइटों का उपयोग करते हैं
हंटर्स इंटरनेशनल ने एक नई रणनीति अपनाई है, जिसके तहत आईटी पेशेवरों को निशाना बनाने के लिए वैध ओपन-सोर्स नेटवर्क स्कैनिंग टूल की नकल करने वाली वेबसाइटों का उपयोग किया जाता है, जिसका उद्देश्य उच्च विशेषाधिकार वाले खातों में सेंध लगाना है।
उपयोगकर्ताओं को मालवेयर से बचने के लिए प्रायोजित खोज परिणामों से सावधान रहना चाहिए, इन परिणामों को प्रदर्शित होने से रोकने के लिए विज्ञापन अवरोधकों का उपयोग करना चाहिए, और सुरक्षित इंस्टॉलर प्रदान करने के लिए जानी जाने वाली आधिकारिक परियोजना साइटों को बुकमार्क करना चाहिए। रैनसमवेयर हमलों के प्रभाव को कम करने के लिए, एक मजबूत बैकअप योजना को लागू करें, नेटवर्क विभाजन का अभ्यास करें, और विशेषाधिकार वृद्धि और पार्श्व आंदोलन के अवसरों को कम करने के लिए सभी सॉफ़्टवेयर को अद्यतित रखें।
