सेतो खरगोश Ransomware
डिसेम्बरमा फिर्ता, 2021 को अन्त्य हुनु अघि, एउटा नयाँ ransomware परिवार साइबर अपराध परिदृश्यमा अमेरिकी बैंक विरुद्धको आक्रमणमा देखा पर्यो। ट्रेन्ड माइक्रोका अन्वेषकहरूले पत्ता लगाएका र व्हाइट र्याबिट ransomware को रूपमा ट्याक गरिएको, खतराले यस प्रकारको आधुनिक मालवेयरका धेरै पूर्ण रूपमा कार्यान्वयन विशेषताहरू प्रदर्शन गर्दछ। जबकि सेतो खरगोशको एन्क्रिप्शन दिनचर्या एकदम जटिल छ, यसले यसको हस्तक्षेपकारी कार्यहरू मास्किङमा बढेको फोकस देखाउँछ। यो ध्यान दिनुपर्छ कि केहि विवरणहरूले सेतो खरायो र FIN8 को रूपमा चिनिने APT समूह बीचको सम्बन्ध देखाउँदछ।
सामग्रीको तालिका
सेतो खरायो विवरण
आक्रमणको विश्लेषण गरिसकेपछि, इन्फोसेक विज्ञहरूले कोबाल्ट स्ट्राइकको प्रयोगद्वारा लक्षित प्रणालीहरूमा ह्वाइट र्याबिट तैनाथ गरिएको संकेतहरू देखे, एक वैध प्रवेश-परीक्षण उपकरण जसले यसको व्यापक सुविधाहरूको कारणले प्रायः दुर्भावनापूर्ण आक्रमणहरूको एक हिस्सा पाउँछ। वास्तविक White Rabbit पेलोड बाइनरी एउटा सानो फाइल हो, लगभग 100KB, जसले कुनै पनि उल्लेखनीय स्ट्रिङ वा गतिविधि देखाउँदैन।
यसको विनाशकारी क्षमताहरू अनलक गर्न, सेतो खरगोशलाई एक विशिष्ट आदेश-लाइन पासवर्ड चाहिन्छ। पछि, खतराले यसको आन्तरिक कन्फिगरेसन डिक्रिप्ट गर्न सक्छ र यसको एन्क्रिप्शन दिनचर्या कार्यान्वयन गर्न सुरु गर्न सक्छ। यो विशेष प्रविधि ransomware खतरा द्वारा प्रयोग गरिएको यो पहिलो पटक होइन, यसअघि Egregor ransomware परिवारले यसको दुर्भावनापूर्ण कार्यहरू लुकाउन प्रयोग गर्यो।
गुप्तिकरण प्रक्रिया र मागहरू
सेतो खरगोशले फाइल प्रकारहरूको विस्तृत दायरालाई लक्षित गर्दछ र प्रत्येक लक गरिएको फाइलको लागि समान फिरौती नोट सन्देशको साथ पाठ फाइल सिर्जना गर्दछ। पाठ फाइलहरूको नाम '.scrypt.txt' सँग जोडिएको सम्बन्धित फाइलको नामको संयोजन हो। यसको इन्क्रिप्सन प्रक्रियामा बाधा नआउने कुरा सुनिश्चित गर्न, धम्कीले एन्टि-मालवेयर उत्पादनहरूसँग सम्बन्धित विशिष्ट प्रक्रियाहरू र सेवाहरू समाप्त गर्न सक्षम छ। सेतो खरगोशले महत्त्वपूर्ण मार्ग र डाइरेक्टरीहरूमा फाइलहरू छोडेर कुनै पनि प्रणाली क्र्यास वा महत्वपूर्ण त्रुटिहरू निम्त्याउनबाट बच्न प्रयास गर्दछ। केही उदाहरणहरू समावेश छन् \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , र थप।
फिरौती नोटले सेतो खरायोले दोहोरो फिरौती योजना चलाएको देखाउँछ। फाइलहरू लक हुनु अघि, ह्याकरहरूले महत्त्वपूर्ण निजी डेटा सफलतापूर्वक चोरी गरेको दाबी गर्छन्। पीडितहरूलाई साइबर अपराधीहरूसँग सम्पर्क स्थापित गर्न 4 दिनको समय दिइएको छ वा चोरीको जानकारी सार्वजनिक गरिनेछ वा प्रतिस्पर्धी संस्थाहरूलाई बिक्रीको लागि प्रस्ताव गरिनेछ। आवश्यक डिक्रिप्शन कुञ्जी पनि मेटाइनेछ, सबै लक गरिएका फाइलहरूको पुनर्स्थापना असम्भव बनाउँदै।
FIN8 मा जडान
FIN8 APT समूह मुख्यतया साइबर जासूसी, घुसपैठ, र जासूसी कार्यहरूमा संलग्न छ। त्यहाँ निश्चित विवरणहरू छन् जुन समूहलाई व्हाइट र्याबिट ransomware खतरामा लिङ्क गर्दछ। लोडस्टोनका अनुसन्धानकर्ताहरूले भनेझैं, सेतो खरगोश आक्रमणको भागको रूपमा देखाइएको खराब URL पहिले FIN8 समूहसँग सम्बन्धित थियो। थप रूपमा, तिनीहरूको खोजहरूले देखाउँदछ कि व्हाइट र्याबिटले खराब उपकरणहरूको FIN8 को शस्त्रागारको हिस्सा मानिने ब्याकडोर Badhatch को संस्करण प्रयोग गरिरहेको छ। यदि White Rabbit र FIN8 बीचको जडान आकस्मिक हो वा समूहले वास्तवमा आफ्नो गतिविधिहरू विस्तार गर्दै र ransomware दृश्यमा प्रवेश गरिरहेको छ भने हेर्न बाँकी छ।
