ScRansom Ransomware
CosmicBeetle ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਧਮਕੀ ਅਦਾਕਾਰ ਨੇ ScRansom ਨਾਮਕ ਇੱਕ ਨਵਾਂ ਕਸਟਮ ਰੈਨਸਮਵੇਅਰ ਰੂਪ ਪੇਸ਼ ਕੀਤਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਯੂਰਪ, ਏਸ਼ੀਆ, ਅਫਰੀਕਾ ਅਤੇ ਦੱਖਣੀ ਅਮਰੀਕਾ ਵਿੱਚ ਛੋਟੇ ਅਤੇ ਮੱਧਮ ਆਕਾਰ ਦੇ ਕਾਰੋਬਾਰਾਂ (SMBs) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, CosmicBeetle ਨੂੰ RansomHub ਸਮੂਹ ਲਈ ਇੱਕ ਐਫੀਲੀਏਟ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦਾ ਸ਼ੱਕ ਹੈ।
ਪਹਿਲਾਂ Scarab Ransomware ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, CosmicBeetle ਹੁਣ ScRansom ਵਿੱਚ ਤਬਦੀਲ ਹੋ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਜਾਰੀ ਵਿਕਾਸ ਅਧੀਨ ਹੈ। ਹਾਲਾਂਕਿ ਰੈਨਸਮਵੇਅਰ ਸੂਝ-ਬੂਝ ਵਿੱਚ ਸਭ ਤੋਂ ਅੱਗੇ ਨਹੀਂ ਹੈ, ਸਮੂਹ ਅਜੇ ਵੀ ਧਿਆਨ ਦੇਣ ਯੋਗ ਟੀਚਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
CosminBeetle ਸੈਕਟਰਾਂ ਦੇ ਇੱਕ ਵਿਭਿੰਨ ਸਮੂਹ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ
ScRansom ਹਮਲਿਆਂ ਨੇ ਨਿਰਮਾਣ, ਫਾਰਮਾਸਿਊਟੀਕਲ, ਕਾਨੂੰਨੀ, ਸਿੱਖਿਆ, ਸਿਹਤ ਸੰਭਾਲ, ਤਕਨਾਲੋਜੀ, ਪਰਾਹੁਣਚਾਰੀ, ਮਨੋਰੰਜਨ, ਵਿੱਤੀ ਸੇਵਾ ਅਤੇ ਖੇਤਰੀ ਸਰਕਾਰਾਂ ਸਮੇਤ ਬਹੁਤ ਸਾਰੇ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ।
CosmicBeetle, ਜਿਸਨੂੰ NONAME ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਸਭ ਤੋਂ ਵੱਧ ਇਸਦੀ ਧਮਕੀ ਭਰੀ ਟੂਲਕਿੱਟ, ਸਪੇਸਕੋਲੋਨ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਪਹਿਲਾਂ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਪੀੜਤਾਂ ਨੂੰ ਸਕਾਰਾਬ ਰੈਨਸਮਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਸੀ। ਗਰੁੱਪ ਨੂੰ ਲੀਕ ਹੋਏ ਲਾਕਬਿਟ ਬਿਲਡਰ ਦੇ ਨਾਲ ਪ੍ਰਯੋਗ ਕਰਨ ਲਈ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਨਵੰਬਰ 2023 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਰਿਹਾਈ ਦੇ ਨੋਟਾਂ ਅਤੇ ਲੀਕ ਸਾਈਟਾਂ ਵਿੱਚ ਬਦਨਾਮ ਲੌਕਬਿਟ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਦੀ ਨਕਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ।
ਹਮਲਾਵਰਾਂ ਦੀ ਪਛਾਣ ਅਤੇ ਮੂਲ ਅਸਪਸ਼ਟ ਹੈ। ਇੱਕ ਪੁਰਾਣੀ ਥਿਊਰੀ, ਜਿਸਨੂੰ ਹੁਣ ਅਸੰਭਵ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਨੇ ਸੁਝਾਅ ਦਿੱਤਾ ਕਿ ਉਹ ਇੱਕ ਹੋਰ ਟੂਲ ਜਿਸਨੂੰ ScHackTool ਵਿੱਚ ਪਾਇਆ ਗਿਆ ਇੱਕ ਕਸਟਮ ਇਨਕ੍ਰਿਪਸ਼ਨ ਵਿਧੀ ਦੇ ਕਾਰਨ ਤੁਰਕੀ ਮੂਲ ਦੇ ਹੋ ਸਕਦੇ ਹਨ।
ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਦੁਆਰਾ ਕਈ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
ਅਟੈਕ ਚੇਨਜ਼ ਨੂੰ ਵਹਿਸ਼ੀ-ਫੋਰਸ ਹਮਲਿਆਂ ਅਤੇ ਕਈ ਜਾਣੀਆਂ ਗਈਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2021-42287, CVE-2023-42252, ਅਤੇ 42025-2025) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। -27532) ਟੀਚੇ ਵਾਲੇ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਲਈ।
ਘੁਸਪੈਠ ਵਿੱਚ ਸੁਰੱਖਿਆ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਅਤੇ ਡੇਲਫੀ-ਅਧਾਰਿਤ ScRansom Ransomware ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵੱਖ-ਵੱਖ ਸਾਧਨਾਂ ਜਿਵੇਂ ਕਿ ਰੀਪਰ, ਡਾਰਕਸਾਈਡ , ਅਤੇ RealBlindingEDR ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਵੀ ਸ਼ਾਮਲ ਹੈ। ScRansom ਵਿੱਚ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਤੇਜ਼ ਕਰਨ ਲਈ ਅੰਸ਼ਕ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਇੱਕ 'ERASE' ਮੋਡ ਸ਼ਾਮਲ ਹੈ ਜੋ ਇੱਕ ਸਥਿਰ ਮੁੱਲ ਨਾਲ ਫਾਈਲਾਂ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
RansomHub ਨਾਲ ਸੰਭਾਵੀ ਕਨੈਕਸ਼ਨ
RansomHub ਦਾ ਲਿੰਕ infosec ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਨਿਰੀਖਣਾਂ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ScRansom ਅਤੇ RansomHub ਪੇਲੋਡ ਨੂੰ ਇੱਕ ਹਫ਼ਤੇ ਦੇ ਅੰਦਰ ਉਸੇ ਮਸ਼ੀਨ 'ਤੇ ਤੈਨਾਤ ਪਾਇਆ। ਸ਼ੁਰੂ ਤੋਂ ਕਸਟਮ ਰੈਨਸਮਵੇਅਰ ਵਿਕਸਿਤ ਕਰਨ ਦੀਆਂ ਚੁਣੌਤੀਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਦੇ ਹੋਏ, CosmicBeetle ਨੇ LockBit ਦੀ ਸਾਖ ਦਾ ਲਾਭ ਉਠਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ ਜਾਪਦੀ ਹੈ। ਇਸ ਰਣਨੀਤੀ ਦਾ ਉਦੇਸ਼ ਉਹਨਾਂ ਦੇ ਰੈਨਸਮਵੇਅਰ ਦੀਆਂ ਖਾਮੀਆਂ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨਾ ਅਤੇ ਇਸ ਸੰਭਾਵਨਾ ਨੂੰ ਸੁਧਾਰਨਾ ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਪੀੜਤ ਫਿਰੌਤੀ ਦਾ ਭੁਗਤਾਨ ਕਰਨਗੇ।
ਰੈਨਸਮਵੇਅਰ ਆਪਰੇਟਰ ਆਪਣੇ ਨੁਕਸਾਨਦੇਹ ਸਾਧਨਾਂ ਨੂੰ ਅਪਡੇਟ ਕਰਦੇ ਹਨ
ਜੁਲਾਈ 2024 ਤੋਂ, Cicada3301 Ransomware (ਜਿਸ ਨੂੰ ਰਿਪੇਲੈਂਟ ਸਕਾਰਪੀਅਸ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਨਾਲ ਜੁੜੇ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਐਨਕ੍ਰਿਪਟਰ ਦੇ ਇੱਕ ਅੱਪਡੇਟ ਕੀਤੇ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਸ ਨਵੇਂ ਸੰਸਕਰਣ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ-ਲਾਈਨ ਆਰਗੂਮੈਂਟ, --no-note ਸ਼ਾਮਲ ਹੈ, ਜੋ ਕਿ ਏਨਕ੍ਰਿਪਟਰ ਨੂੰ ਸਿਸਟਮ ਵਿੱਚ ਇੱਕ ਰਿਹਾਈ-ਪੱਤਰ ਲਿਖਣ ਤੋਂ ਰੋਕਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅੱਪਡੇਟ ਕੀਤੇ ਐਨਕ੍ਰਿਪਟਰ ਵਿੱਚ ਹੁਣ ਬਾਈਨਰੀ ਵਿੱਚ ਹਾਰਡ-ਕੋਡ ਕੀਤੇ ਯੂਜ਼ਰਨਾਮ ਜਾਂ ਪਾਸਵਰਡ ਸ਼ਾਮਲ ਨਹੀਂ ਹਨ। ਹਾਲਾਂਕਿ, ਇਹ ਅਜੇ ਵੀ ਮੌਜੂਦਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ PsExec ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ, ਇੱਕ ਤਕਨੀਕ ਜੋ ਹਾਲ ਹੀ ਵਿੱਚ ਮੋਰਫਿਸੇਕ ਦੁਆਰਾ ਨੋਟ ਕੀਤੀ ਗਈ ਹੈ। ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ, infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਬੂਤ ਲੱਭੇ ਹਨ ਜੋ ਇਹ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਕਿ ਗਰੁੱਪ ਕੋਲ ਪੁਰਾਣੇ ਸਮਝੌਤਿਆਂ ਤੋਂ ਡਾਟਾ ਹੋ ਸਕਦਾ ਹੈ ਜੋ ਕਿ Cicada3301 ਨਾਮ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਹੋਇਆ ਸੀ।
ਇਹ ਸੰਭਾਵਨਾ ਵਧਾਉਂਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਨੇ ਪਹਿਲਾਂ ਕਿਸੇ ਵੱਖਰੇ ਰੈਨਸਮਵੇਅਰ ਬ੍ਰਾਂਡ ਦੇ ਅਧੀਨ ਕੰਮ ਕੀਤਾ ਹੋ ਸਕਦਾ ਹੈ ਜਾਂ ਦੂਜੇ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹਾਂ ਤੋਂ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕੀਤਾ ਹੈ।
