ओसिरिस र्‍यान्समवेयर परिवार

साइबरसुरक्षा अनुसन्धानकर्ताहरूले नोभेम्बर २०२५ मा दक्षिणपूर्वी एसियामा एक प्रमुख खाद्य सेवा फ्रान्चाइजी अपरेटर विरुद्ध भएको आक्रमणपछि ओसिरिस भनिने पहिले कागजात नभएको र्यान्समवेयर परिवारको खुलासा गरेका छन्। विश्लेषणले संकेत गर्दछ कि यो एक नयाँ विकसित र्यान्समवेयर स्ट्रेन हो र डिसेम्बर २०१६ मा अवलोकन गरिएको ओसिरिस भेरियन्टसँग सम्बन्धित छैन जुन लकीबाट लिइएको थियो। विकासकर्ताहरूको पहिचान अज्ञात छ, र मालवेयर र्‍यान्समवेयर-एज-ए-सर्भिस अपरेशनको भागको रूपमा प्रस्ताव गरिएको हो भन्ने कुनै पुष्टि छैन।

आक्रमण श्रृंखला र प्रारम्भिक सम्झौता

पीडित नेटवर्कमा सबैभन्दा पहिले पुष्टि भएको दुर्भावनापूर्ण गतिविधिमा ransomware तैनाती अघि संवेदनशील डेटाको एक्सफिल्टरेशन समावेश थियो। आक्रमणकारीहरूले Rclone प्रयोग गरेर Wasabi मा होस्ट गरिएका क्लाउड भण्डारण बकेटहरूमा जानकारी स्थानान्तरण गरे। यो चरण नियन्त्रण स्थापित गर्न, पार्श्व रूपमा सार्न र इन्क्रिप्शनको लागि वातावरण तयार गर्न उपकरणहरूको चरणबद्ध परिचय पछि गरिएको थियो।

सामान्य प्रशासनिक गतिविधिमा मिसाउन र प्रारम्भिक पहिचानलाई कम गर्न रिमोट व्यवस्थापन कम्पोनेन्टहरूसँगै विभिन्न प्रकारका जीवित-बाहिर-भूमि र दोहोरो-प्रयोग उपयोगिताहरू प्रयोग गरिएको थियो।

INC Ransomware सञ्चालनमा शंकास्पद लिङ्कहरू

धेरै सूचकहरूले पहिले INC ransomware (जसलाई Warble पनि भनिन्छ) सँग सम्बन्धित अभिनेताहरूसँग सम्भावित ओभरल्यापको सुझाव दिन्छन्। उल्लेखनीय रूपमा, आक्रमणकारीहरूले एउटै फाइल नाम भएको Mimikatz को संस्करण प्रयोग गरे, kaz.exe, जुन पहिले INC-सम्बन्धित घटनाहरूमा अवलोकन गरिएको छ। थप रूपमा, एक्सफिल्ट्रेसन पूर्वाधार र ट्रेडक्राफ्टले पहिले त्यो इकोसिस्टममा श्रेय दिइएको प्रविधिहरूलाई नजिकबाट प्रतिबिम्बित गर्दछ, यद्यपि कुनै निश्चित श्रेय स्थापित गरिएको छैन।

गरिब चालक र BYOVD रणनीतिहरू

घुसपैठको एउटा केन्द्रीय विशेषता भनेको POORTRY भनेर चिनिने दुर्भावनापूर्ण चालकको तैनाती थियो, जुन bring-your-own-vulnerable-driver (BYOVD) शैलीको आक्रमणमा अन्तिम बिन्दु प्रतिरक्षालाई बेअसर गर्न प्रयोग गरिएको थियो। वैध तर त्रुटिपूर्ण चालकहरूमा भर पर्ने परम्परागत BYOVD अपरेशनहरू भन्दा फरक, POORTRY विशेषाधिकारहरू बढाउन र सुरक्षा उपकरणहरू समाप्त गर्न विशेष रूपमा इन्जिनियर गरिएको एक बेस्पोक चालक हो।

सुरक्षात्मक सफ्टवेयर असक्षम पार्न कमजोर ड्राइभरहरू लोड गर्ने ज्ञात उपयोगिता, KillAV प्रयोग गरेर वातावरण थप तयार पारिएको थियो। रिमोट डेस्कटप प्रोटोकल पनि सक्षम पारिएको थियो, जसले निरन्तर अन्तरक्रियात्मक पहुँचलाई सहज बनाउने सम्भावना थियो।

ओसिरिस र्‍यान्समवेयरका क्षमताहरू

ओसिरिसलाई एक परिपक्व र प्रभावकारी इन्क्रिप्शन पेलोडको रूपमा वर्णन गरिएको छ, जुन सम्भवतः अनुभवी खतरा अभिनेताहरूद्वारा सञ्चालित हुन्छ। यसले हाइब्रिड क्रिप्टोग्राफिक मोडेल लागू गर्दछ र प्रत्येक फाइलको लागि एक अद्वितीय इन्क्रिप्शन कुञ्जी उत्पन्न गर्दछ, जसले गर्दा रिकभरी प्रयासहरूलाई उल्लेखनीय रूपमा जटिल बनाउँछ। ransomware ले व्यापक कन्फिगरेसनलाई समर्थन गर्दछ, जसले अपरेटरहरूलाई पीडित वातावरणमा कार्यान्वयनलाई फाइन-ट्यून गर्न अनुमति दिन्छ।

मुख्य कार्यात्मक सुविधाहरू समावेश छन्:

• सेवाहरू रोक्ने, प्रक्रियाहरू समाप्त गर्ने, र ब्याकअप वा रिकभरी संयन्त्रहरू असक्षम पार्ने।
• लक्षित फोल्डरहरू र फाइल एक्सटेन्सनहरू परिभाषित गर्ने, र पूरा भएपछि अनुकूलित फिरौती नोट उत्पन्न गर्ने।

पूर्वनिर्धारित रूपमा, ओसिरिसलाई उत्पादकता सफ्टवेयर, इमेल सर्भर, ब्राउजर, टेक्स्ट सम्पादक, भोल्युम छायाँ प्रतिलिपि, र भिम जस्ता इन्टरप्राइज ब्याकअप प्लेटफर्महरूसँग सम्बन्धित प्रक्रियाहरू र सेवाहरू आक्रामक रूपमा समाप्त गर्न कन्फिगर गरिएको छ।

घुसपैठलाई समर्थन गर्न प्रयोग गरिने उपकरणहरू

र्यान्समवेयरभन्दा बाहिर, आक्रमणकारीहरूले सञ्चालन नियन्त्रण कायम राख्न टोही, पार्श्व आन्दोलन, र रिमोट व्यवस्थापन उपयोगिताहरूको टुलकिटमा भर परे। घुसपैठको समयमा अवलोकन गरिएका उपकरणहरूमा समावेश थिए:

• नेटवर्क खोज र कार्यान्वयनको लागि नेटस्क्यान र नेटएक्सेक।
• मेषएजेन्ट र निरन्तर रिमोट पहुँचको लागि रस्टडेस्क रिमोट डेस्कटप अनुप्रयोगको अनुकूलित निर्माण।
• क्लाउड भण्डारणमा स्वचालित डेटा एक्सफिल्ट्रेसनको लागि Rclone।

विकसित हुँदै गएको जबरजस्ती करणी परिदृश्यको लागि प्रभावहरू

इन्क्रिप्टिङ रन्समवेयरले संस्थाहरूका लागि महत्त्वपूर्ण जोखिम निम्त्याउँदै जाँदा, यो घटनाले बहुआयामिक जबरजस्ती रकम असुल्ने अभियानहरूतर्फको व्यापक विकासलाई प्रकाश पार्छ। डेटा चोरीमा बढ्दो जोड, दुर्भावनापूर्ण ड्राइभरहरू मार्फत रक्षा चोरी, र इन्क्रिप्शनलेस वा हाइब्रिड आक्रमणहरूको बढ्दो प्रचलनले खतराको परिदृश्यलाई विस्तार गर्दैछ। नतिजाको रूपमा, रन्समवेयर फराकिलो, अधिक जटिल जबरजस्ती रकम असुल्ने इकोसिस्टम भित्र केवल एउटा घटक बन्दै गइरहेको छ जसले समान रूपमा अनुकूलनीय रक्षात्मक रणनीतिहरूको माग गर्दछ।