ਏਜੰਡਾ (ਕਿਲਿਨ) ਰੈਨਸਮਵੇਅਰ ਅਟੈਕ ਗੂਗਲ ਕਰੋਮ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਚੋਰੀ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ
ਏਜੰਡਾ (ਕਿਲਿਨ) ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਨੇ ਇੱਕ ਨਵੀਂ ਰਣਨੀਤੀ ਪੇਸ਼ ਕੀਤੀ ਹੈ: ਗੂਗਲ ਕਰੋਮ ਬ੍ਰਾਉਜ਼ਰਾਂ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਖਾਤੇ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਕਰਨ ਲਈ ਇੱਕ ਕਸਟਮ ਸਟੀਲਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ। ਇਹ ਵਿਕਾਸ, ਸੋਫੋਸ ਐਕਸ-ਓਪਸ ਟੀਮ ਦੁਆਰਾ ਹਾਲੀਆ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਦੇ ਯਤਨਾਂ ਦੌਰਾਨ ਦੇਖਿਆ ਗਿਆ, ਰੈਨਸਮਵੇਅਰ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਾਧੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹਨਾਂ ਹਮਲਿਆਂ ਨੂੰ ਬਚਾਅ ਲਈ ਹੋਰ ਵੀ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਹਮਲੇ ਦੀ ਸੰਖੇਪ ਜਾਣਕਾਰੀ: ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਬ੍ਰੇਕਡਾਊਨ
ਸੋਫੋਸ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਏਜੰਡਾ/ਕਿਲਿਨ ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਜੋ ਇੱਕ VPN ਪੋਰਟਲ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੁਆਰਾ ਇੱਕ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਨਾਲ ਸ਼ੁਰੂ ਹੋਇਆ ਸੀ ਜਿਸ ਵਿੱਚ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਦੀ ਘਾਟ ਸੀ। ਉਲੰਘਣਾ ਦੇ ਬਾਅਦ ਇੱਕ 18-ਦਿਨ ਦੀ ਅਕਿਰਿਆਸ਼ੀਲਤਾ ਦੀ ਮਿਆਦ ਸੀ, ਜੋ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਕਿਲਿਨ ਨੇ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਬ੍ਰੋਕਰ (IAB) ਤੋਂ ਨੈੱਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਖਰੀਦੀ ਹੋ ਸਕਦੀ ਹੈ। ਇਸ ਸੁਸਤਤਾ ਦੇ ਦੌਰਾਨ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਹਮਲਾਵਰਾਂ ਨੇ ਨੈਟਵਰਕ ਦੀ ਮੈਪਿੰਗ ਕਰਨ, ਮਹੱਤਵਪੂਰਣ ਸੰਪਤੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨ, ਅਤੇ ਖੋਜ ਕਰਨ ਵਿੱਚ ਸਮਾਂ ਬਿਤਾਇਆ।
ਇਸ ਖੋਜ ਦੀ ਮਿਆਦ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਬਾਅਦ ਵਿੱਚ ਇੱਕ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਵਿੱਚ ਚਲੇ ਗਏ, ਜਿੱਥੇ ਉਹਨਾਂ ਨੇ ਡੋਮੇਨ ਨੈਟਵਰਕ ਵਿੱਚ ਲੌਗਇਨ ਕੀਤੀਆਂ ਸਾਰੀਆਂ ਮਸ਼ੀਨਾਂ ਵਿੱਚ ਪਾਵਰਸ਼ੇਲ ਸਕ੍ਰਿਪਟ, 'IPScanner.ps1,' ਨੂੰ ਚਲਾਉਣ ਲਈ ਗਰੁੱਪ ਪਾਲਿਸੀ ਆਬਜੈਕਟ (GPOs) ਨੂੰ ਸੋਧਿਆ। ਇਹ ਸਕ੍ਰਿਪਟ, ਇੱਕ ਬੈਚ ਫਾਈਲ, 'logon.bat,' ਦੁਆਰਾ ਚਲਾਈ ਗਈ, ਖਾਸ ਤੌਰ 'ਤੇ Google Chrome ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਸੀ।
ਕਰੋਮ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਹਾਰਵੈਸਟਿੰਗ: ਖ਼ਤਰੇ ਦੀ ਇੱਕ ਨਵੀਂ ਪਰਤ
ਬੈਚ ਸਕ੍ਰਿਪਟ ਹਰ ਵਾਰ ਜਦੋਂ ਉਪਭੋਗਤਾ ਆਪਣੀ ਮਸ਼ੀਨ ਵਿੱਚ ਲੌਗਇਨ ਕਰਦਾ ਹੈ ਤਾਂ ਪਾਵਰਸ਼ੇਲ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਾਲੂ ਕਰ ਦਿੰਦੀ ਹੈ, ਅਤੇ ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ 'LD' ਜਾਂ 'temp.log' ਨਾਮਾਂ ਹੇਠ 'SYSVOL' ਸ਼ੇਅਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਫਾਈਲਾਂ ਫਿਰ ਏਜੰਡਾ/ਕਿਲਿਨ ਦੇ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨੂੰ ਭੇਜੀਆਂ ਗਈਆਂ ਸਨ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਹਮਲਾਵਰਾਂ ਦੇ ਟਰੈਕਾਂ ਨੂੰ ਕਵਰ ਕਰਨ ਲਈ ਸਥਾਨਕ ਕਾਪੀਆਂ ਅਤੇ ਸੰਬੰਧਿਤ ਇਵੈਂਟ ਲੌਗਸ ਨੂੰ ਮਿਟਾਇਆ ਗਿਆ ਸੀ। ਇਸ ਤੋਂ ਬਾਅਦ, ਏਜੰਡਾ (ਕਿਲਿਨ) ਨੇ ਆਪਣੇ ਰੈਨਸਮਵੇਅਰ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ, ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ ਵਿੱਚ ਡੇਟਾ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ। ਇੱਕ ਵੱਖਰੀ GPO ਅਤੇ ਬੈਚ ਫਾਈਲ, 'run.bat,' ਦੀ ਵਰਤੋਂ ਡੋਮੇਨ ਵਿੱਚ ਸਾਰੀਆਂ ਮਸ਼ੀਨਾਂ ਵਿੱਚ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਕੀਤੀ ਗਈ ਸੀ।
Chrome ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਏਜੰਡਾ/ਕਿਲਿਨ ਦੀ ਪਹੁੰਚ ਖਾਸ ਤੌਰ 'ਤੇ ਚਿੰਤਾਜਨਕ ਹੈ ਕਿਉਂਕਿ GPO ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਸਾਰੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਇਹ ਸੀ ਕਿ ਹਰੇਕ ਡਿਵਾਈਸ ਜਿਸ ਵਿੱਚ ਇੱਕ ਉਪਭੋਗਤਾ ਲੌਗ ਇਨ ਕੀਤਾ ਗਿਆ ਸੀ, ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ-ਕਟਾਈ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅਧੀਨ ਸੀ। ਸਕ੍ਰਿਪਟ ਨੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਕੰਪਨੀ ਦੀਆਂ ਸਾਰੀਆਂ ਮਸ਼ੀਨਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰ ਲਏ, ਜਦੋਂ ਤੱਕ ਉਹ ਡੋਮੇਨ ਨਾਲ ਕਨੈਕਟ ਸਨ ਅਤੇ ਸਕ੍ਰਿਪਟ ਦੇ ਕਾਰਜਸ਼ੀਲ ਹੋਣ ਦੀ ਮਿਆਦ ਦੇ ਦੌਰਾਨ ਕਿਰਿਆਸ਼ੀਲ ਉਪਭੋਗਤਾ ਲੌਗਇਨ ਸਨ।
ਪ੍ਰਭਾਵ ਅਤੇ ਘਟਾਉਣ ਦੀਆਂ ਰਣਨੀਤੀਆਂ
ਇਸ ਵਿਧੀ ਦੁਆਰਾ ਸੁਵਿਧਾਜਨਕ ਵਿਆਪਕ ਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਚੋਰੀ ਫਾਲੋ-ਅਪ ਹਮਲਿਆਂ, ਕਈ ਪਲੇਟਫਾਰਮਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਵਿੱਚ ਵਿਆਪਕ ਉਲੰਘਣਾਵਾਂ, ਅਤੇ ਜਵਾਬੀ ਯਤਨਾਂ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਗੁੰਝਲਦਾਰ ਬਣਾ ਸਕਦੀ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਇੱਕ ਲਗਾਤਾਰ ਖ਼ਤਰਾ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਸ਼ੁਰੂਆਤੀ ਰੈਨਸਮਵੇਅਰ ਘਟਨਾ ਦੇ ਹੱਲ ਹੋਣ ਤੋਂ ਬਾਅਦ ਵੀ ਰੁਕ ਸਕਦਾ ਹੈ।
ਇਸ ਖਤਰੇ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ, ਸੰਸਥਾਵਾਂ ਨੂੰ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਸਟੋਰ ਕਰਨ ਦੇ ਵਿਰੁੱਧ ਸਖਤ ਨੀਤੀਆਂ ਲਾਗੂ ਕਰਨੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ। ਖਾਤਿਆਂ ਨੂੰ ਹਾਈਜੈਕਿੰਗ ਤੋਂ ਬਚਾਉਣ ਲਈ ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਵੀ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਇੱਥੋਂ ਤੱਕ ਕਿ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਸਮਝੌਤਿਆਂ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਵੀ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਘੱਟੋ-ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੇ ਸਿਧਾਂਤਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਅਤੇ ਨੈਟਵਰਕ ਨੂੰ ਵੰਡਣਾ ਇੱਕ ਖ਼ਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਦੀ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਬਾਅਦ ਵਿੱਚ ਜਾਣ ਦੀ ਯੋਗਤਾ ਵਿੱਚ ਮਹੱਤਵਪੂਰਣ ਰੁਕਾਵਟ ਪਾ ਸਕਦਾ ਹੈ।
ਸਕੈਟਰਡ ਸਪਾਈਡਰ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਸਮੂਹ ਨਾਲ ਕਿਲਿਨ ਦੇ ਲਿੰਕ ਅਤੇ ਉਹਨਾਂ ਦੀਆਂ ਬਹੁ-ਪਲੇਟਫਾਰਮ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਇਹ ਰਣਨੀਤਕ ਤਬਦੀਲੀ ਸੰਸਥਾਵਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਜਿਵੇਂ ਕਿ ਕਿਲਿਨ ਵਰਗੇ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹਾਂ ਦਾ ਵਿਕਾਸ ਕਰਨਾ ਜਾਰੀ ਹੈ, ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਚੌਕਸ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਰਹਿਣਾ ਪਹਿਲਾਂ ਨਾਲੋਂ ਕਿਤੇ ਜ਼ਿਆਦਾ ਮਹੱਤਵਪੂਰਨ ਹੈ।