ਜੈਂਟਲਕਿਲਰ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ

ਜੈਂਟਲਮੈਨ ਰੈਨਸਮਵੇਅਰ-ਏਜ਼-ਏ-ਸਰਵਿਸ (RaaS) ਓਪਰੇਸ਼ਨ ਸਰਗਰਮੀ ਨਾਲ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (EDR) ਕਿਲਿੰਗ ਟੂਲਸ ਦੇ ਇੱਕ ਵਿਆਪਕ ਸੂਟ ਨੂੰ ਵਿਕਸਤ ਅਤੇ ਰੱਖ-ਰਖਾਅ ਕਰ ਰਿਹਾ ਹੈ ਜਿਸਦੀ ਵਰਤੋਂ ਸਹਿਯੋਗੀ ਰੈਨਸਮਵੇਅਰ ਐਨਕ੍ਰਿਪਟਰਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸੁਰੱਖਿਆ ਸੁਰੱਖਿਆ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਕਰ ਸਕਦੇ ਹਨ।

ਇਸ ਹਥਿਆਰਾਂ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਜੈਂਟਲਕਿਲਰ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਢਾਂਚਾ ਹੈ, ਜਿਸਨੂੰ ਕਈ ਤੀਜੀ-ਧਿਰ ਅਤੇ ਲੀਕ ਹੋਏ ਟੂਲਸ ਦੁਆਰਾ ਸਮਰਥਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਹੈਕਸਕਿਲਰ, ਥ੍ਰੋਟਲਬਲੱਡ, ਅਤੇ ਹੈਵੋਕਕਿਲਰ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਉਪਯੋਗਤਾਵਾਂ ਇੱਕ ਸਾਂਝੇ ਰੱਖਿਆ-ਚੋਰੀ ਢਾਂਚੇ ਦੁਆਰਾ ਏਕੀਕ੍ਰਿਤ ਹਨ ਜੋ ਜਾਅਲੀ ਸੰਸਕਰਣ ਜਾਣਕਾਰੀ, ਕਾਪੀ ਕੀਤੇ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਕਲੋਨ ਕੀਤੇ ਐਪਲੀਕੇਸ਼ਨ ਆਈਕਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਉਹਨਾਂ ਨੂੰ ਜਾਇਜ਼ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਵਜੋਂ ਭੇਸ ਦਿੰਦੀਆਂ ਹਨ।

ਨਵੀਆਂ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਤੇਜ਼ੀ ਨਾਲ ਸ਼ੋਸ਼ਣ

ਸਮੂਹ ਦੀਆਂ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਹ ਹੈ ਕਿ ਬ੍ਰਿੰਗ ਯੂਅਰ ਓਨ ਵਲਨਰੇਬਲ ਡਰਾਈਵਰ (BYOVD) ਤਕਨੀਕ ਨਾਲ ਜੁੜੇ ਨਵੇਂ ਪ੍ਰਕਾਸ਼ਿਤ ਪਰੂਫ-ਆਫ-ਕੰਸੈਪਟ (PoC) ਸ਼ੋਸ਼ਣਾਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਸੰਚਾਲਿਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਨਵੇਂ ਪ੍ਰਗਟ ਕੀਤੇ ਸ਼ੋਸ਼ਣ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹੋਣ ਦੇ ਕੁਝ ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਸਮੂਹ ਦੇ ਟੂਲਕਿੱਟ ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਹੋ ਜਾਂਦੇ ਹਨ।

ਇਹ ਸੁਚਾਰੂ ਵਿਕਾਸ ਪਹੁੰਚ ਸਹਿਯੋਗੀਆਂ ਨੂੰ ਬਹੁਤ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ ਜਦੋਂ ਕਿ ਆਪਰੇਟਰਾਂ ਲਈ ਵਿਕਾਸ ਜ਼ਰੂਰਤਾਂ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ। ਇਹ ਮਾਡਲ ਸਮੂਹ ਨੂੰ ਜਨਤਕ ਖੁਲਾਸੇ ਤੋਂ ਤੁਰੰਤ ਬਾਅਦ ਨਵੇਂ ਦੁਰਵਿਵਹਾਰ ਕੀਤੇ ਡਰਾਈਵਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਕੇ ਆਪਣੇ ਅਸਲੇ ਨੂੰ ਲਗਾਤਾਰ ਤਾਜ਼ਾ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਰੈਨਸਮਵੇਅਰ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਵਾਧਾ

ਮਾਰਚ 2025 ਵਿੱਚ ਉਭਰਨ ਤੋਂ ਬਾਅਦ, ਦ ਜੈਂਟਲਮੈਨ ਤੇਜ਼ੀ ਨਾਲ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਸਰਗਰਮ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹਾਂ ਵਿੱਚੋਂ ਇੱਕ ਬਣ ਗਿਆ ਹੈ। ਇਸ ਕਾਰਵਾਈ ਨੇ 504 ਪੀੜਤਾਂ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਲਈ ਹੈ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਜ਼ਿਆਦਾਤਰ ਨਿਸ਼ਾਨਾ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆ, ਦੱਖਣੀ ਅਮਰੀਕਾ ਅਤੇ ਪੱਛਮੀ ਯੂਰਪ ਵਿੱਚ ਸਥਿਤ ਹਨ।

ਹਾਲੀਆ ਜਾਂਚਾਂ ਨੇ 36 ਸਾਲਾ ਰੂਸੀ ਨਾਗਰਿਕ ਅਲੈਗਜ਼ੈਂਡਰ ਐਂਡਰੀਵਿਚ ਯਾਪੇਵ, ਜਿਸਨੂੰ ਔਨਲਾਈਨ 'ਹਸਤਲਾਮੁਏਰਤੇ' ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਇਸ ਕਾਰਵਾਈ ਦੇ ਨੇਤਾ ਵਜੋਂ ਪਛਾਣਿਆ ਹੈ। ਦ ਜੈਂਟਲਮੈਨ ਨੂੰ ਲਾਂਚ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਉਸਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਕਿਲਿਨ ਸਮੇਤ ਕਈ ਹੋਰ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰੋਗਰਾਮਾਂ ਲਈ ਇੱਕ ਸਹਿਯੋਗੀ ਵਜੋਂ ਕੰਮ ਕੀਤਾ ਸੀ।

ਨਕਲ ਅਤੇ ਬਾਈਨਰੀ ਸੁਰੱਖਿਆ ਰਾਹੀਂ ਉੱਨਤ EDR ਚੋਰੀ

ਜੈਂਟਲਮੈਨ ਨੂੰ ਵਰਤਮਾਨ ਵਿੱਚ ਸਰਗਰਮ ਸਭ ਤੋਂ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ ਚੁਸਤ RaaS ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਸਦੇ ਡਿਵੈਲਪਰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਕਿ ਕੰਪਾਇਲ ਕੀਤੇ EDR ਕਿਲਰ ਖੋਜ ਤੋਂ ਬਚ ਜਾਣ, ਜਿਸ ਵਿੱਚ ਬਾਈਨਰੀ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਅਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਕਰੇਤਾਵਾਂ ਦੇ ਸਮਾਨ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਫਾਈਲ ਨਾਮਾਂ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਧੋਖਾ ਜਾਅਲੀ ਸੰਸਕਰਣ ਜਾਣਕਾਰੀ, ਡਿਜੀਟਲ ਦਸਤਖਤਾਂ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਆਈਕਨਾਂ ਤੱਕ ਫੈਲਿਆ ਹੋਇਆ ਹੈ।

ਹਥਿਆਰਾਂ ਵਿੱਚ ਸਭ ਤੋਂ ਵੱਧ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਔਜ਼ਾਰ, ਜੈਂਟਲਕਿਲਰ, ਅੱਠ ਵੱਖ-ਵੱਖ ਰੂਪਾਂ ਵਿੱਚ ਮੌਜੂਦ ਹੈ। ਹਰੇਕ ਸੰਸਕਰਣ ਇੱਕ ਵੱਖਰੇ ਜਾਇਜ਼ ਸੁਰੱਖਿਆ ਉਤਪਾਦ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ ਅਤੇ BYOVD ਹਮਲੇ ਦੀ ਲੜੀ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਇੱਕ ਵੱਖਰੇ ਕਮਜ਼ੋਰ ਜਾਂ ਖਤਰਨਾਕ ਡਰਾਈਵਰ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਫਰੇਮਵਰਕ ਕਈ ਵਿਕਰੇਤਾਵਾਂ ਤੋਂ 48 ਵੱਖ-ਵੱਖ ਸੁਰੱਖਿਆ ਹੱਲਾਂ ਨਾਲ ਜੁੜੀਆਂ ਲਗਭਗ 400 ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਸਮਰੱਥ ਹੈ।

ਕਮਜ਼ੋਰ ਡਰਾਈਵਰਾਂ ਦਾ ਵਧਦਾ ਦੁਰਵਿਵਹਾਰ

ਹਾਲ ਹੀ ਦੇ ਮਹੀਨਿਆਂ ਵਿੱਚ ਕਈ BYOVD ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਡਰਾਈਵਰ PoisonX.sys ਦੀ ਦੁਰਵਰਤੋਂ ਵਧੀ ਹੈ। ਇੱਕ ਘਟਨਾ ਵਿੱਚ, ਡਰਾਈਵਰ ਦੀ ਵਰਤੋਂ CrowdStrike Falcon EDR ਪਲੇਟਫਾਰਮ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ। ਇੱਕ ਹੋਰ ਮੁਹਿੰਮ ਵਿੱਚ ਹਮਲਾਵਰਾਂ ਨੇ PoisonX.sys ਅਤੇ hrwfpdrv.sys ਦੁਆਰਾ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਨੂੰ ਪਹਿਲਾਂ ਅਯੋਗ ਕਰਨ ਤੋਂ ਬਾਅਦ ਇੱਕ ਪੀੜਤ ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ BeyondTrust ਰਿਮੋਟ ਸਪੋਰਟ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ।

ਭਾਵੇਂ ਬ੍ਰਾਂਡਿੰਗ ਅਤੇ ਡਰਾਈਵਰ ਚੋਣ ਵਿੱਚ ਅੰਤਰ ਹਟਾ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ, ਇਹਨਾਂ EDR ਕਿਲਰਾਂ ਦਾ ਅੰਤਰੀਵ ਕੋਡ ਮਹੱਤਵਪੂਰਨ ਢਾਂਚਾਗਤ ਅਤੇ ਵਿਵਹਾਰਕ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਸਾਂਝੇ ਵਿਕਾਸ ਟੈਂਪਲੇਟ ਦੀ ਵਰਤੋਂ ਨੂੰ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਦਰਸਾਉਂਦਾ ਹੈ।

ਆਰਸੈਨਲ ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਤੀਜੀ-ਧਿਰ EDR ਕਾਤਲ

ਜੈਂਟਲਮੈਨਜ਼ ਟੂਲਕਿੱਟ ਵਿੱਚ ਕਈ ਬਾਹਰੀ BYOVD-ਅਧਾਰਿਤ EDR ਕਿਲਰ ਸ਼ਾਮਲ ਹਨ:

• HexKiller (googleApiUtil64.sys), ਜਿਸਨੂੰ ਪਹਿਲਾਂ ਵਾਰਲੌਕ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਲਈ ਵਿਸ਼ੇਸ਼ ਮੰਨਿਆ ਜਾਂਦਾ ਸੀ।
• ਥ੍ਰੋਟਲਬਲੱਡ (ਥ੍ਰੋਟਲਬਲੱਡ.ਐਸ.ਐਸ.), ਜੋ ਕਿ ਮੇਡੂਸਾਲਾਕਰ ਅਤੇ ਡਰੈਗਨਫੋਰਸ ਸਹਿਯੋਗੀਆਂ, ਅਤੇ ਹੈਵੋਕਕਿਲਰ ਜਾਂ ਐਚਡਬਲਯੂਆਡਕਿਲਰ (ਹਾਵੋਕ.ਐਸ.ਐਸ.) ਨਾਲ ਜੁੜੇ ਹਮਲਿਆਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ।
• ਆਕਸਾਈਡਹਾਰਵੈਸਟ ਰੈਨਸਮਵੇਅਰ ਤੋਂ ਪਰੇ ਖ਼ਤਰੇ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਆਕਸਾਈਡਹਾਰਵੈਸਟ ਨਾਮਕ ਇੱਕ ਜੰਗਾਲ-ਅਧਾਰਤ ਪ੍ਰਮਾਣ ਪੱਤਰ-ਚੋਰੀ ਮਾਲਵੇਅਰ ਦੀ ਵੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸਨੂੰ ਬਿਲਡਐਕਸ641 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਕਈ ਪ੍ਰਸਿੱਧ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਗੂਗਲ ਕਰੋਮ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ, ਟਾਰਚ, ਕੋਮੋਡੋ, ਐਪਿਕ ਪ੍ਰਾਈਵੇਸੀ ਬ੍ਰਾਊਜ਼ਰ, ਵਿਵਾਲਡੀ, ਬ੍ਰੇਵ, ਓਪੇਰਾ, ਓਪੇਰਾਜੀਐਕਸ, ਮੋਜ਼ੀਲਾ ਫਾਇਰਫਾਕਸ, ਵਾਟਰਫੌਕਸ, ਬਲੈਕਹਾਕ, ਅਤੇ ਆਈਸਕੈਟ।

ਇੱਕ ਕੇਂਦਰੀਕ੍ਰਿਤ ਮਾਡਲ ਜੋ ਸਹਿਯੋਗੀਆਂ ਨੂੰ ਆਕਰਸ਼ਿਤ ਕਰਦਾ ਹੈ

ਜਦੋਂ ਕਿ ਬਹੁਤ ਸਾਰੇ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ EDR ਬਾਈਪਾਸ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਆਪਣੇ ਸਹਿਯੋਗੀਆਂ 'ਤੇ ਛੱਡ ਦਿੰਦੇ ਹਨ, ਦ ਜੈਂਟਲਮੈਨ ਨੇ ਸਹਿਯੋਗੀਆਂ ਨੂੰ ਵਰਤੋਂ ਲਈ ਤਿਆਰ ਅਤੇ ਮਿਆਰੀ EDR-ਕਿਲਰ ਸੂਟ ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਸਮਰੱਥਾ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਨ ਦੀ ਚੋਣ ਕੀਤੀ ਹੈ। ਇਹ ਰਣਨੀਤੀ ਸਹਿਯੋਗੀਆਂ ਲਈ ਦਾਖਲੇ ਲਈ ਤਕਨੀਕੀ ਰੁਕਾਵਟ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਉਂਦੀ ਹੈ, ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਅਤੇ ਸਾਈਬਰ ਅਪਰਾਧਿਕ ਵਾਤਾਵਰਣ ਪ੍ਰਣਾਲੀ ਦੇ ਅੰਦਰ ਕਾਰਵਾਈ ਦੀ ਸਮੁੱਚੀ ਖਿੱਚ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।