ScRansom Ransomware
CosmicBeetle को रूपमा चिनिने खतरा अभिनेताले ScRansom भनिने नयाँ कस्टम ransomware संस्करण प्रस्तुत गरेको छ, विशेष गरी युरोप, एशिया, अफ्रिका र दक्षिण अमेरिकाभरि साना र मध्यम आकारका व्यवसायहरू (SMBs) लाई लक्षित गर्दै। थप रूपमा, CosmicBeetle ले RansomHub समूहको लागि सम्बद्धको रूपमा काम गरेको शंका छ।
पहिले Scarab Ransomware प्रयोग गरेर, CosmicBeetle अब ScRansom मा ट्रान्जिसन भएको छ, जुन चलिरहेको विकास अन्तर्गत छ। यद्यपि ransomware परिष्कारको अग्रभागमा नभए पनि, समूहले अझै पनि उल्लेखनीय लक्ष्यहरू सम्झौता गर्न व्यवस्थित गरेको छ।
सामग्रीको तालिका
CosminBeetle विभिन्न क्षेत्रहरूको समूहलाई लक्षित गर्दछ
ScRansom आक्रमणहरूले उत्पादन, औषधि, कानुनी, शिक्षा, स्वास्थ्य सेवा, प्रविधि, आतिथ्य, मनोरञ्जन, वित्तीय सेवा र क्षेत्रीय सरकारहरू लगायतका क्षेत्रहरूको विस्तृत दायरालाई लक्षित गरेको छ।
CosmicBeetle, NONAME को रूपमा पनि चिनिन्छ, यसको धम्की दिने टूलकिट, Spacecolon को लागि सबैभन्दा बढी चिनिन्छ, जुन पहिले विश्वभरका पीडितहरूलाई Scarab Ransomware पुर्याउन प्रयोग गरिएको थियो। यो समूहले नोभेम्बर 2023 को शुरुवातमा कुख्यात लकबिट र्यान्समवेयर समूहलाई फिरौती नोटहरूमा र लीक साइटहरूमा नक्कल गर्ने प्रयास गर्दै लीक गरिएको लकबिट बिल्डरसँग प्रयोग गर्न पनि परिचित छ।
आक्रमणकारीहरूको पहिचान र उत्पत्ति अझै अस्पष्ट छ। पहिलेको सिद्धान्त, अब असम्भव मानिएको छ, सुझाव दियो कि तिनीहरू टर्की मूलका हुन सक्छन् किनभने SchHackTool भनिने अर्को उपकरणमा पाइने अनुकूलन ईन्क्रिप्शन विधि।
साइबर अपराधीहरू द्वारा शोषण गरिएको बहु भेद्यताहरू
आक्रमण चेनहरू क्रूर-फोर्स आक्रमणहरू र धेरै ज्ञात सुरक्षा कमजोरीहरू (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2021-42252, र CVE-2025-42025-2025-2025-20278, CVE-2021-42278, CVE-2021-42278, CVE-2021-42278, -27532) लक्षित वातावरण घुसाउन।
घुसपैठहरूमा सुरक्षा प्रक्रियाहरू समाप्त गर्न र डेल्फी-आधारित ScRansom Ransomware प्रयोग गर्नु अघि पत्ता लगाउनबाट बच्न विभिन्न उपकरणहरू जस्तै रीपर, डार्कसाइड , र RealBlindingEDR को प्रयोग पनि समावेश छ। ScRansom ले इन्क्रिप्सन प्रक्रियालाई गति दिन आंशिक इन्क्रिप्सन सुविधा दिन्छ र यसमा 'ERASE' मोड समावेश हुन्छ जसले फाइलहरूलाई स्थिर मानका साथ ओभरराइट गर्छ, तिनीहरूलाई पुन:प्राप्त गर्न मिल्दैन।
RansomHub मा सम्भावित जडान
RansomHub को लिङ्क इन्फोसेक अनुसन्धानकर्ताहरूको अवलोकनबाट उत्पन्न हुन्छ जसले ScRansom र RansomHub पेलोडहरू एक हप्ता भित्रमा एउटै मेसिनमा तैनाथ गरेको फेला पारेका थिए। स्क्र्याचबाट कस्टम ransomware विकास गर्ने चुनौतीहरूको सामना गर्दै, CosmicBeetle ले LockBit को प्रतिष्ठाको लाभ उठाउने प्रयास गरेको देखिन्छ। यो रणनीति तिनीहरूको ransomware मा अस्पष्ट त्रुटिहरू र पीडितहरूले फिरौती तिर्ने सम्भावना सुधार गर्न अभिप्रेरित हुन सक्छ।
Ransomware अपरेटरहरूले तिनीहरूको हानिकारक उपकरणहरू अद्यावधिक गर्छन्
जुलाई 2024 देखि, Cicada3301 Ransomware (जसलाई रिपेलेन्ट स्कोर्पियस पनि भनिन्छ) सँग सम्बन्धित खतरा अभिनेताहरू तिनीहरूको एन्क्रिप्टरको अपडेट गरिएको संस्करण प्रयोग गरेर देखिएका छन्। यो नयाँ संस्करणले कमाण्ड-लाइन तर्क, --नो-नोट समावेश गर्दछ, जसले इन्क्रिप्टरलाई प्रणालीमा फिरौती नोट लेख्नबाट रोक्छ।
थप रूपमा, अद्यावधिक गरिएको इन्क्रिप्टरले अब बाइनरी भित्र हार्ड-कोड गरिएको प्रयोगकर्ता नाम वा पासवर्डहरू समावेश गर्दैन। यद्यपि, यसले अझै पनि अवस्थित प्रमाणहरू प्रयोग गरेर PsExec कार्यान्वयन गर्न सक्छ, हालै Morphisec द्वारा नोट गरिएको एक प्रविधि। चाखलाग्दो रूपमा, इन्फोसेक अनुसन्धानकर्ताहरूले प्रमाणहरू पत्ता लगाएका छन् कि समूहसँग पुरानो सम्झौताहरूबाट डाटा हुन सक्छ जुन उनीहरूले Cicada3301 नाम अन्तर्गत सञ्चालन गर्नु अघि भएको थियो।
यसले खतरा अभिनेताले पहिले फरक ransomware ब्रान्ड अन्तर्गत सञ्चालन गरेको वा अन्य ransomware समूहहरूबाट डाटा प्राप्त गरेको सम्भावना बढाउँछ।
