ஜென்டில்கில்லர் தீம்பொருள் கட்டமைப்பு

தி ஜென்டில்மென் வழங்கும் சேவையாக ரேன்சம்வேர் (RaaS) சேவையானது, ரேன்சம்வேர் என்க்ரிப்டர்களைப் பயன்படுத்துவதற்கு முன்பு பாதுகாப்பு ஏற்பாடுகளை முடக்குவதற்காக, அதன் கூட்டாளிகள் பயன்படுத்தக்கூடிய எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதிலளிப்பு (EDR) அழிக்கும் கருவிகளின் ஒரு விரிவான தொகுப்பைத் தீவிரமாக உருவாக்கிப் பராமரித்து வருகிறது.

இந்த ஆயுதக் களஞ்சியத்தின் மையத்தில் ஜென்டில்கில்லர் எனப்படும் ஒரு கட்டமைப்பு உள்ளது. இதற்கு ஹெக்ஸ்கில்லர், த்ராட்டில்பிளட் மற்றும் ஹாவோக்கில்லர் உள்ளிட்ட பல மூன்றாம் தரப்பு மற்றும் கசிந்த கருவிகள் ஆதரவளிக்கின்றன. இந்தப் பயன்பாடுகள், போலியான பதிப்புத் தகவல்கள், நகலெடுக்கப்பட்ட டிஜிட்டல் சான்றிதழ்கள் மற்றும் குளோன் செய்யப்பட்ட பயன்பாட்டுச் சின்னங்களைப் பயன்படுத்தி, அவற்றை முறையான பாதுகாப்புத் தயாரிப்புகளாக மாறுவேடமிடும் ஒரு பொதுவான பாதுகாப்பு-தவிர்ப்பு கட்டமைப்பின் மூலம் ஒன்றிணைக்கப்பட்டுள்ளன.

புதிதாக வெளிப்படுத்தப்பட்ட பாதிப்புகளை விரைவாகப் பயன்படுத்திக் கொள்ளுதல்

இந்தக் குழுவின் மிகவும் குறிப்பிடத்தக்க திறன்களில் ஒன்று, 'உங்கள் சொந்த பாதிப்புக்குள்ளாகும் இயக்கியைக் கொண்டு வாருங்கள்' (BYOVD) நுட்பத்துடன் தொடர்புடைய, புதிதாக வெளியிடப்பட்ட செயல்முறை நிரூபண (PoC) சுரண்டல்களை விரைவாகச் செயல்பாட்டுக்குக் கொண்டுவரும் அதன் திறனாகும். பல சந்தர்ப்பங்களில், புதிதாக வெளிப்படுத்தப்பட்ட சுரண்டல்கள் பொதுவில் கிடைக்கப்பெற்ற சில நாட்களுக்குள்ளேயே குழுவின் கருவித்தொகுப்பில் ஒருங்கிணைக்கப்படுகின்றன.

இந்த நெறிப்படுத்தப்பட்ட மேம்பாட்டு அணுகுமுறையானது, இணை நிறுவனங்களுக்கு மிகவும் பயனுள்ள கருவிகளை வழங்குவதோடு, இயக்குபவர்களுக்கான மேம்பாட்டுத் தேவைகளையும் குறைக்கிறது. மேலும், தவறாகப் பயன்படுத்தப்பட்ட புதிய இயக்கிகள் பொதுவெளியில் வெளிப்படுத்தப்பட்ட உடனேயே அவற்றை இணைத்துக்கொள்வதன் மூலம், குழு தனது கருவிக் களஞ்சியத்தைத் தொடர்ந்து புதுப்பித்துக்கொள்ளவும் இந்த மாதிரி உதவுகிறது.

ரேன்சம்வேர் சூழல் அமைப்பில் விரைவான வளர்ச்சி

மார்ச் 2025-ல் தோன்றியதிலிருந்து, 'தி ஜென்டில்மென்' உலகளவில் மிகவும் சுறுசுறுப்பான ரான்சம்வேர் குழுக்களில் ஒன்றாக விரைவாக உருவெடுத்துள்ளது. இந்தச் செயல்பாடு 504 பாதிக்கப்பட்டவர்களுக்குத் தீங்கு விளைவித்ததாகப் பொறுப்பேற்றுள்ளது, இதில் பெரும்பாலான இலக்குகள் தென்கிழக்கு ஆசியா, தென் அமெரிக்கா மற்றும் மேற்கு ஐரோப்பா முழுவதும் அமைந்துள்ளன.

சமீபத்திய விசாரணைகள், 'hastalamuerte' என்ற பெயரில் இணையத்தில் அறியப்படும் 36 வயதான ரஷ்ய நாட்டவரான அலெக்சாண்டர் ஆண்ட்ரீவிச் யாபாயேவ் என்பவரை இந்தச் செயல்பாட்டின் தலைவராக அடையாளம் கண்டுள்ளன. 'தி ஜென்டில்மென்' திட்டத்தைத் தொடங்குவதற்கு முன்பு, அவர் Qilin உட்பட பல ரான்சம்வேர் நிரல்களின் கூட்டாளியாகப் பணியாற்றியதாகக் கூறப்படுகிறது.

ஆள்மாறாட்டம் மற்றும் பைனரி பாதுகாப்பு மூலம் மேம்பட்ட EDR ஏமாற்றுதல்

தற்போது இயங்கிவரும் RaaS செயல்பாடுகளில், 'தி ஜென்டில்மென்' மிகவும் தொழில்நுட்ப ரீதியாக சுறுசுறுப்பான ஒன்றாகக் கருதப்படுகிறது. தொகுக்கப்பட்ட EDR கில்லர்கள் கண்டறியப்படுவதைத் தவிர்ப்பதை உறுதிசெய்ய, அதன் உருவாக்குநர்கள் பைனரி பாதுகாப்பு வழிமுறைகள் மற்றும் நன்கு அறியப்பட்ட சைபர் பாதுகாப்பு விற்பனையாளர்களின் பெயர்களை ஒத்திருக்கும் வகையில் வடிவமைக்கப்பட்ட கோப்புப் பெயர்களின் பயன்பாடு உள்ளிட்ட பல நுட்பங்களைப் பயன்படுத்துகின்றனர். இந்த ஏமாற்று வேலை, போலியான பதிப்புத் தகவல்கள், டிஜிட்டல் கையொப்பங்கள் மற்றும் பயன்பாட்டுச் சின்னங்கள் வரை நீள்கிறது.

ஆயுதக் களஞ்சியத்தில் மிகவும் பரவலாகப் பயன்படுத்தப்படும் கருவியான ஜென்டில்கில்லர், எட்டு தனித்துவமான வகைகளில் உள்ளது. ஒவ்வொரு பதிப்பும் வெவ்வேறு முறையான பாதுகாப்புத் தயாரிப்பைப் போல நடித்து, BYVD தாக்குதல் சங்கிலியின் ஒரு பகுதியாக, தனித்தனியான பாதிப்புக்குள்ளாகக்கூடிய அல்லது தீங்கிழைக்கும் இயக்கியைத் தவறாகப் பயன்படுத்துகிறது. இந்தக் கட்டமைப்பு, பல்வேறு விற்பனையாளர்களிடமிருந்து வரும் 48 வெவ்வேறு பாதுகாப்புத் தீர்வுகளுடன் தொடர்புடைய சுமார் 400 செயல்முறைகளை அடையாளம் கண்டு குறிவைக்கும் திறன் கொண்டது.

பாதிக்கப்படக்கூடிய ஓட்டுநர்கள் மீதான அதிகரித்து வரும் துஷ்பிரயோகம்

சமீபத்திய மாதங்களில், பல BYVD தாக்குதல்களில் PoisonX.sys டிரைவரின் தவறான பயன்பாடு அதிகரித்துள்ளது. ஒரு சம்பவத்தில், CrowdStrike Falcon EDR தளத்தை முடக்குவதற்கு இந்த டிரைவர் பயன்படுத்தப்பட்டது. மற்றொரு தாக்குதலில், தாக்குதல் நடத்தியவர்கள் PoisonX.sys மற்றும் hrwfpdrv.sys மூலம் பாதுகாப்பு அம்சங்களை முதலில் செயலிழக்கச் செய்த பிறகு, BeyondTrust Remote Support-ஐப் பயன்படுத்தி பாதிக்கப்பட்டவரின் நெட்வொர்க்கில் ransomware-ஐப் பரப்பினர்.

பிராண்டிங் மற்றும் டிரைவர் தேர்வில் உள்ள வேறுபாடுகளை நீக்கினாலும், இந்த EDR கில்லர்களின் அடிப்படைக் குறியீடு குறிப்பிடத்தக்க கட்டமைப்பு மற்றும் செயல்பாட்டு ஒற்றுமைகளை வெளிப்படுத்துகிறது, இது ஒரு பகிரப்பட்ட மேம்பாட்டு வார்ப்புருவின் பயன்பாட்டை வலுவாகச் சுட்டிக்காட்டுகிறது.

மூன்றாம் தரப்பு EDR கில்லர்கள் ஆயுதக் களஞ்சியத்தில் ஒருங்கிணைக்கப்பட்டுள்ளன

இந்த ஜென்டில்மேனின் கருவித்தொகுப்பு, BYVD அடிப்படையிலான பல வெளிப்புற EDR அழிப்பான்களை உள்ளடக்கியுள்ளது:

• ஹெக்ஸ்கில்லர் (googleApiUtil64.sys), முன்னர் வார்லாக் ரான்சம்வேர் குழுவிற்கு மட்டுமே உரியது என்று நம்பப்பட்டது.
• மெடுசாலாக்கர் மற்றும் டிராகன்ஃபோர்ஸ் கூட்டாளிகளுடன் தொடர்புடைய தாக்குதல்களில் காணப்படும் த்ராட்டில்பிளட் (ThrottleBlood.sys), மற்றும் ஹவோக்கில்லர் அல்லது ஹ்வாட்கில்லர் (havoc.sys).
• ரான்சம்வேரையும் தாண்டி ஆக்ஸைடுஹார்வெஸ்ட் அச்சுறுத்தலை விரிவுபடுத்துகிறது.

ஆராய்ச்சியாளர்கள், buildx641 என்றும் அறியப்படும் OxideHarvest என்ற ரஸ்ட் அடிப்படையிலான நற்சான்றிதழ் திருடும் தீம்பொருளையும் அடையாளம் கண்டுள்ளனர். இந்தத் திருடியானது, பின்வருவன உட்பட பல பிரபலமான உலாவிகளில் இருந்து முக்கியமான தகவல்களைச் சேகரிக்கும் திறன் கொண்டது:

கூகிள் குரோம், மைக்ரோசாஃப்ட் எட்ஜ், டார்ச், கொமோடோ, எபிக் பிரைவசி பிரவுசர், விவால்டி, பிரேவ், ஓபரா, ஓபராஜிஎக்ஸ், மொஸில்லா ஃபயர்பாக்ஸ், வாட்டர்ஃபாக்ஸ், பிளாக்ஹாக் மற்றும் ஐஸ்கேட்.

இணை நிறுவனங்களை ஈர்க்கும் ஒரு மையப்படுத்தப்பட்ட மாதிரி

பல ரான்சம்வேர் குழுக்கள் EDR பைபாஸ் செயல்பாடுகளைத் தங்கள் துணை நிறுவனங்களிடம் விட்டுவிடும் நிலையில், 'தி ஜென்டில்மென்' குழுவானது, துணை நிறுவனங்களுக்குப் பயன்படுத்தத் தயாரான மற்றும் தரப்படுத்தப்பட்ட EDR-கில்லர் தொகுப்பை வழங்குவதன் மூலம் இந்தத் திறனை மையப்படுத்தத் தேர்ந்தெடுத்துள்ளது. இந்த உத்தியானது, துணை நிறுவனங்களுக்கான தொழில்நுட்ப ரீதியான நுழைவுத் தடையைக் கணிசமாகக் குறைத்து, ரான்சம்வேர் நிறுவலை எளிதாக்கி, இணையக் குற்றவாளிகள் சூழலில் இந்தச் செயல்பாட்டின் ஒட்டுமொத்தக் கவர்ச்சியை அதிகரிக்கிறது.