ਖਿੰਡੇ ਹੋਏ ਮੱਕੜੀ ਰੈਨਸਮਵੇਅਰ ਹਮਲਾ

ਸਕੈਟਰਡ ਸਪਾਈਡਰ, ਇੱਕ ਸੂਝਵਾਨ ਅਤੇ ਹਮਲਾਵਰ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹ, ਨੇ VMware ESXi ਹਾਈਪਰਵਾਈਜ਼ਰਾਂ ਵਿਰੁੱਧ ਆਪਣੇ ਹਮਲੇ ਤੇਜ਼ ਕਰ ਦਿੱਤੇ ਹਨ। ਉੱਤਰੀ ਅਮਰੀਕਾ ਵਿੱਚ ਪ੍ਰਚੂਨ, ਏਅਰਲਾਈਨਾਂ ਅਤੇ ਆਵਾਜਾਈ ਵਰਗੇ ਮੁੱਖ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, ਸਮੂਹ ਦੇ ਕਾਰਜ ਗਿਣਿਆ-ਮਿਥਿਆ, ਜਾਣਬੁੱਝ ਕੇ ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹਨ। ਉਨ੍ਹਾਂ ਦੀ ਸਫਲਤਾ ਸਾਫਟਵੇਅਰ ਦੇ ਸ਼ੋਸ਼ਣ ਵਿੱਚ ਨਹੀਂ ਬਲਕਿ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਭਰੋਸੇਯੋਗ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਹੇਰਾਫੇਰੀ ਵਿੱਚ ਉਨ੍ਹਾਂ ਦੀ ਮੁਹਾਰਤ ਵਿੱਚ ਹੈ।

ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਿਨਾਂ ਰਣਨੀਤੀਆਂ: ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ

ਸਾਫਟਵੇਅਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਬਜਾਏ, ਸਕੈਟਰਡ ਸਪਾਈਡਰ ਇੱਕ ਅਜ਼ਮਾਈ ਗਈ ਅਤੇ ਪਰਖੀ ਗਈ ਰਣਨੀਤੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ: ਫ਼ੋਨ-ਅਧਾਰਤ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ। ਇਹ ਸਮੂਹ ਅਕਸਰ ਉੱਚ-ਅਧਿਕਾਰ ਪ੍ਰਸ਼ਾਸਕਾਂ ਸਮੇਤ, ਜਾਇਜ਼ ਕਰਮਚਾਰੀਆਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਆਈਟੀ ਸਹਾਇਤਾ ਡੈਸਕਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ। ਇਹ ਕਾਲਾਂ ਇੱਕ ਵਿਸ਼ਾਲ ਮੁਹਿੰਮ-ਅਧਾਰਤ ਰਣਨੀਤੀ ਦਾ ਹਿੱਸਾ ਹਨ, ਜਿਸ ਨਾਲ ਉਨ੍ਹਾਂ ਦੇ ਹਮਲੇ ਬੇਤਰਤੀਬ ਹੋ ਜਾਂਦੇ ਹਨ। ਉਹ ਇੱਕ ਸੰਗਠਨ ਦੇ ਅੰਦਰ ਸਭ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਪ੍ਰਣਾਲੀਆਂ ਅਤੇ ਡੇਟਾ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਆਪਣੇ ਕਾਰਜਾਂ ਦੀ ਸਾਵਧਾਨੀ ਨਾਲ ਯੋਜਨਾ ਬਣਾਉਂਦੇ ਹਨ।

ਸਕੈਟਰਡ ਸਪਾਈਡਰ ਐਕਟਰ ਧੋਖੇਬਾਜ਼ ਡੋਮੇਨਾਂ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ ਜਾਣੇ ਜਾਂਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਦੇ ਟੀਚਿਆਂ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਜਾਂ ਲੌਗਇਨ ਪੋਰਟਲਾਂ ਦੀ ਨੇੜਿਓਂ ਨਕਲ ਕਰਦੇ ਹਨ। ਆਮ ਨਾਮਕਰਨ ਪੈਟਰਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਪੀੜਤ ਨਾਮ-sso.com
• ਪੀੜਤ ਦਾ ਨਾਮ-okta.com
• ਪੀੜਤ ਨਾਮ-ਸਰਵਿਸਡੈਸਕ.ਕਾੱਮ
• sso-victimname.com ਵੱਲੋਂ
• servicenow-victimname.com

ਹੈਲਪ ਡੈਸਕ ਤੋਂ ਹਾਈਪਰਵਾਈਜ਼ਰ ਤੱਕ: ਮਲਟੀ-ਫੇਜ਼ ਅਟੈਕ ਚੇਨ

ਸਕੈਟਰਡ ਸਪਾਈਡਰ ਦੀ ਹਮਲੇ ਦੀ ਵਿਧੀ ਪੰਜ ਰਣਨੀਤਕ ਪੜਾਵਾਂ ਵਿੱਚੋਂ ਲੰਘਦੀ ਹੈ, ਹਰੇਕ ਨੂੰ ਪਹੁੰਚ ਵਧਾਉਣ ਅਤੇ ਖੋਜ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ:

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਾਧਾ
ਹਮਲਾਵਰ ਕਰਮਚਾਰੀਆਂ ਦੀ ਨਕਲ ਕਰਨ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਨ ਅਤੇ ਅੰਦਰੂਨੀ ਦਸਤਾਵੇਜ਼ ਇਕੱਠੇ ਕਰਨ ਲਈ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਨਾਲ ਸ਼ੁਰੂਆਤ ਕਰਦੇ ਹਨ। ਉਹ ਅਕਸਰ ਹਾਸ਼ੀਕਾਰਪ ਵਾਲਟ ਵਰਗੇ ਪਾਸਵਰਡ ਪ੍ਰਬੰਧਕਾਂ ਤੋਂ ਡੇਟਾ ਕੱਢਦੇ ਹਨ ਅਤੇ ਪ੍ਰਬੰਧਕ ਪਾਸਵਰਡ ਰੀਸੈਟ ਕਰਨ ਲਈ ਆਈਟੀ ਸਹਾਇਤਾ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।

vSphere ਵੱਲ ਲੇਟਰਲ ਮੂਵਮੈਂਟ
VMware ਵਾਤਾਵਰਣਾਂ ਨਾਲ ਮੈਪ ਕੀਤੇ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਉਹ vCenter ਸਰਵਰ ਐਪਲਾਇੰਸ (vCSA) ਤੱਕ ਪਹੁੰਚ ਕਰਦੇ ਹਨ। ਟੈਲੀਪੋਰਟ ਨਾਮਕ ਇੱਕ ਟੂਲ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਰਿਵਰਸ ਸ਼ੈੱਲ ਬਣਾਉਣ ਲਈ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਫਾਇਰਵਾਲ ਨਿਯਮਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦਾ ਹੈ ਅਤੇ ਨਿਰੰਤਰ ਪਹੁੰਚ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

ਹਾਈਪਰਵਾਈਜ਼ਰ ਹੇਰਾਫੇਰੀ ਅਤੇ ਡੇਟਾ ਐਕਸਟਰੈਕਸ਼ਨ
ESXi ਹੋਸਟਾਂ 'ਤੇ SSH ਸਮਰੱਥ ਹੈ, ਰੂਟ ਪਾਸਵਰਡ ਰੀਸੈਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਅਤੇ ਇੱਕ 'ਡਿਸਕ-ਸਵੈਪ' ਹਮਲਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਵਿੱਚ ਇੱਕ ਡੋਮੇਨ ਕੰਟਰੋਲਰ VM ਨੂੰ ਬੰਦ ਕਰਨਾ, ਇਸਦੀ ਵਰਚੁਅਲ ਡਿਸਕ ਨੂੰ ਵੱਖ ਕਰਨਾ, ਇਸਨੂੰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ VM ਨਾਲ ਜੋੜਨਾ, ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਉਲਟਾਉਣ ਤੋਂ ਪਹਿਲਾਂ NTDS.dit ਡੇਟਾਬੇਸ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ।

ਰਿਕਵਰੀ ਵਿਧੀਆਂ ਨੂੰ ਅਯੋਗ ਕਰਨਾ
ਰਿਕਵਰੀ ਵਿਕਲਪਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਅਤੇ ਹਮਲੇ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਵਧਾਉਣ ਲਈ ਬੈਕਅੱਪ ਜੌਬ, ਸਨੈਪਸ਼ਾਟ ਅਤੇ ਰਿਪੋਜ਼ਟਰੀਆਂ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ
ਕਸਟਮ ਰੈਨਸਮਵੇਅਰ ਬਾਈਨਰੀਆਂ ਨੂੰ SCP ਜਾਂ SFTP ਰਾਹੀਂ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ESXi ਹੋਸਟਾਂ ਵੱਲ ਧੱਕਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਵਰਚੁਅਲ ਵਾਤਾਵਰਣ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਦੇ ਹਨ।

ਖਿੰਡੇ ਹੋਏ ਮੱਕੜੀ ਦੀ ਗਤੀ ਅਤੇ ਗੁਪਤਤਾ

ਸਕੈਟਰਡ ਸਪਾਈਡਰ, ਜਿਸਨੂੰ 0ktapus, Muddled Libra, Octo Tempest, ਅਤੇ UNC3944 ਵਰਗੇ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਰਵਾਇਤੀ ਰੈਨਸਮਵੇਅਰ ਐਕਟਰਾਂ ਤੋਂ ਵੱਖ ਕਰਨ ਵਾਲੀ ਗੱਲ ਉਨ੍ਹਾਂ ਦੇ ਕਾਰਜਾਂ ਦੀ ਗਤੀ ਅਤੇ ਚੋਰੀ ਹੈ। ਮਾਹਰ ਨੋਟ ਕਰਦੇ ਹਨ ਕਿ ਪੂਰਾ ਹਮਲਾ, ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਤੋਂ ਲੈ ਕੇ ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਤੱਕ, ਕੁਝ ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਹੋ ਸਕਦਾ ਹੈ। ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, 48 ਘੰਟਿਆਂ ਤੋਂ ਵੀ ਘੱਟ ਸਮੇਂ ਵਿੱਚ 100 GB ਤੋਂ ਵੱਧ ਡੇਟਾ ਕੱਢਿਆ ਗਿਆ ਹੈ। ਸਮੂਹ ਨੂੰ ਡਰੈਗਨਫੋਰਸ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰੋਗਰਾਮ ਨਾਲ ਵੀ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਜੋ ਉਨ੍ਹਾਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਹੋਰ ਵੀ ਵਧਾਉਂਦਾ ਹੈ।

ਰੱਖਿਆ ਰਣਨੀਤੀਆਂ ਨੂੰ ਬਦਲਣਾ: EDR ਤੋਂ ਬੁਨਿਆਦੀ ਢਾਂਚਾ-ਕੇਂਦ੍ਰਿਤ ਸੁਰੱਖਿਆ ਵੱਲ

ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੀ ਪ੍ਰਕਿਰਤੀ ਦੇ ਕਾਰਨ, ਸਟੈਂਡਰਡ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (EDR) ਟੂਲ ਕਾਫ਼ੀ ਨਹੀਂ ਹੋ ਸਕਦੇ। ਸਕੈਟਰਡ ਸਪਾਈਡਰ ਤੋਂ ਬਚਾਅ ਲਈ ਇੱਕ ਸੰਪੂਰਨ, ਬੁਨਿਆਦੀ ਢਾਂਚਾ-ਕੇਂਦ੍ਰਿਤ ਪਹੁੰਚ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਹੇਠ ਲਿਖੀ ਪਰਤ ਵਾਲੀ ਰੱਖਿਆ ਰਣਨੀਤੀ ਦੀ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:

ਲੇਅਰ 1: vSphere ਅਤੇ ਹਾਈਪਰਵਾਈਜ਼ਰ ਹਾਰਡਨਿੰਗ

• vSphere 'ਤੇ ਲੌਕਡਾਊਨ ਮੋਡ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ
• ਸਿਰਫ਼ execInstalled ਨੂੰ ਲਾਗੂ ਕਰੋ
• VM ਇਨਕ੍ਰਿਪਸ਼ਨ ਵਰਤੋ
• ਨਾ ਵਰਤੀਆਂ ਜਾਂ ਪੁਰਾਣੀਆਂ ਵਰਚੁਅਲ ਮਸ਼ੀਨਾਂ ਨੂੰ ਰਿਟਾਇਰ ਕਰੋ।
• ਨਕਲ ਕਰਨ ਦੀਆਂ ਚਾਲਾਂ ਤੋਂ ਬਚਣ ਲਈ ਹੈਲਪ ਡੈਸਕ ਨੂੰ ਸੁਰੱਖਿਅਤ ਅਤੇ ਸਿਖਲਾਈ ਦਿਓ।

ਪਰਤ 2: ਪਛਾਣ ਅਤੇ ਪਹੁੰਚ ਸੁਰੱਖਿਆ

• ਫਿਸ਼ਿੰਗ-ਰੋਧਕ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣੀਕਰਨ (MFA) ਲਾਗੂ ਕਰੋ।
• ਮਹੱਤਵਪੂਰਨ ਪਛਾਣ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਵੱਖ ਕਰੋ।
• ਸਰਕੂਲਰ ਪ੍ਰਮਾਣੀਕਰਨ ਨਿਰਭਰਤਾਵਾਂ ਤੋਂ ਬਚੋ ਜਿਨ੍ਹਾਂ ਦਾ ਹਮਲਾਵਰ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦੇ ਹਨ।

ਪਰਤ 3: ਨਿਗਰਾਨੀ ਅਤੇ ਬੈਕਅੱਪ ਆਈਸੋਲੇਸ਼ਨ

• ਮੁੱਖ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਲਾਗ ਨਿਗਰਾਨੀ ਨੂੰ ਕੇਂਦਰੀਕ੍ਰਿਤ ਕਰੋ।
• ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਐਕਸੈਸ ਤੋਂ ਬੈਕਅੱਪ ਨੂੰ ਵੱਖ ਕਰੋ।

ਸਿੱਟਾ: ਰੈਨਸਮਵੇਅਰ ਜੋਖਮ ਦਾ ਇੱਕ ਨਵਾਂ ਯੁੱਗ

ਰੈਨਸਮਵੇਅਰ ਜੋ vSphere ਈਕੋਸਿਸਟਮ, ਖਾਸ ਕਰਕੇ ESXi ਹੋਸਟਾਂ ਅਤੇ vCenter ਸਰਵਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਤੇਜ਼, ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਵਿਘਨ ਪਾਉਣ ਦੀ ਸੰਭਾਵਨਾ ਦੇ ਕਾਰਨ ਇੱਕ ਗੰਭੀਰ ਖ਼ਤਰਾ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਸਕੈਟਰਡ ਸਪਾਈਡਰ ਦੇ ਕਾਰਜਾਂ ਦੀ ਗਣਨਾ ਕੀਤੀ ਪ੍ਰਕਿਰਤੀ ਸੰਗਠਨਾਂ ਨੂੰ ਆਪਣੇ ਬਚਾਅ ਪੱਖਾਂ 'ਤੇ ਮੁੜ ਵਿਚਾਰ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਇਹਨਾਂ ਜੋਖਮਾਂ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਜਾਂ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੇ ਜਵਾਬੀ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਦੇਰੀ ਕਰਨ ਨਾਲ ਵਿਨਾਸ਼ਕਾਰੀ ਨਤੀਜੇ ਨਿਕਲ ਸਕਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਗੰਭੀਰ ਡਾਊਨਟਾਈਮ, ਡੇਟਾ ਨੁਕਸਾਨ ਅਤੇ ਵਿੱਤੀ ਨੁਕਸਾਨ ਸ਼ਾਮਲ ਹੈ।