ஒசைரிஸ் ரான்சம்வேர் குடும்பம்
தென்கிழக்கு ஆசியாவில் நவம்பர் 2025 இல் ஒரு பெரிய உணவு சேவை உரிமையாளர் நிறுவனத்திற்கு எதிரான தாக்குதலைத் தொடர்ந்து, சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், முன்னர் ஆவணப்படுத்தப்படாத ransomware குடும்பமான Osiris ஐ வெளிப்படுத்தியுள்ளனர். பகுப்பாய்வு இது புதிதாக உருவாக்கப்பட்ட ransomware வகை என்றும், டிசம்பர் 2016 இல் Locky இலிருந்து பெறப்பட்ட Osiris மாறுபாட்டுடன் தொடர்புடையது அல்ல என்றும் சுட்டிக்காட்டுகிறது. டெவலப்பர்களின் அடையாளம் தெரியவில்லை, மேலும் இந்த தீம்பொருள் Ransomware-as-a-Service செயல்பாட்டின் ஒரு பகுதியாக வழங்கப்படுகிறது என்பதற்கு எந்த உறுதிப்படுத்தலும் இல்லை.
பொருளடக்கம்
தாக்குதல் சங்கிலி மற்றும் ஆரம்ப சமரசம்
பாதிக்கப்பட்ட நெட்வொர்க்கில் முதன்முதலில் உறுதிப்படுத்தப்பட்ட தீங்கிழைக்கும் செயல்பாடு, ransomware பயன்படுத்தப்படுவதற்கு முன்பு முக்கியமான தரவை வெளியேற்றுவதை உள்ளடக்கியது. தாக்குதல் நடத்தியவர்கள் Rclone ஐப் பயன்படுத்தி தகவல்களை Wasabi இல் ஹோஸ்ட் செய்யப்பட்ட கிளவுட் ஸ்டோரேஜ் பக்கெட்டுகளுக்கு மாற்றினர். இந்த கட்டத்தைத் தொடர்ந்து கட்டுப்பாட்டை நிறுவுதல், பக்கவாட்டில் நகர்த்துதல் மற்றும் குறியாக்கத்திற்கான சூழலைத் தயாரித்தல் ஆகியவற்றிற்கான கருவிகளின் கட்டம் அறிமுகப்படுத்தப்பட்டது.
சாதாரண நிர்வாக நடவடிக்கைகளில் கலக்கவும், முன்கூட்டியே கண்டறிதலைக் குறைக்கவும், பல்வேறு வகையான நிலத்திற்கு வெளியே வாழும் மற்றும் இரட்டை பயன்பாட்டு பயன்பாடுகள், தொலைதூர மேலாண்மை கூறுகளுடன் இணைந்து பயன்படுத்தப்பட்டன.
INC Ransomware செயல்பாடுகளுக்கான சந்தேகத்திற்குரிய இணைப்புகள்
பல குறிகாட்டிகள் முன்னர் INC ransomware உடன் தொடர்புடைய நடிகர்களுடன் (Warble என்றும் அழைக்கப்படுகிறது) சாத்தியமான ஒன்றுடன் ஒன்று தொடர்புடையதாகக் கூறுகின்றன. குறிப்பிடத்தக்க வகையில், தாக்குதல் நடத்தியவர்கள் kaz.exe என்ற அதே கோப்புப் பெயரைக் கொண்ட Mimikatz இன் பதிப்பைப் பயன்படுத்தினர், இது முந்தைய INC தொடர்பான சம்பவங்களில் காணப்பட்டது. கூடுதலாக, வெளியேற்ற உள்கட்டமைப்பு மற்றும் வர்த்தகக் கைவினை ஆகியவை அந்த சுற்றுச்சூழல் அமைப்புக்கு முன்னர் கூறப்பட்ட நுட்பங்களை நெருக்கமாகப் பிரதிபலிக்கின்றன, இருப்பினும் எந்த உறுதியான பண்புக்கூறு நிறுவப்படவில்லை.
ஏழை ஓட்டுநர் மற்றும் BYOVD தந்திரோபாயங்கள்
ஊடுருவலின் மைய அம்சம் POORTRY எனப்படும் தீங்கிழைக்கும் டிரைவரைப் பயன்படுத்துவதாகும், இது எண்ட்பாயிண்ட் தற்காப்புகளை நடுநிலையாக்க bring-your-own-vulnerable-driver (BYOVD) பாணி தாக்குதலில் பயன்படுத்தப்பட்டது. முறையான ஆனால் குறைபாடுள்ள டிரைவர்களை நம்பியிருக்கும் பாரம்பரிய BYOVD செயல்பாடுகளைப் போலல்லாமல், POORTRY என்பது சலுகைகளை உயர்த்தவும் பாதுகாப்பு கருவிகளை நிறுத்தவும் குறிப்பாக வடிவமைக்கப்பட்ட ஒரு தனிப்பயன் இயக்கி ஆகும்.
பாதுகாப்பு மென்பொருளை முடக்க பாதிக்கப்படக்கூடிய இயக்கிகளை ஏற்றுவதற்கான அறியப்பட்ட பயன்பாடான KillAV ஐப் பயன்படுத்தி சூழல் மேலும் தயாரிக்கப்பட்டது. தொலைநிலை டெஸ்க்டாப் நெறிமுறையும் இயக்கப்பட்டது, இது தொடர்ச்சியான ஊடாடும் அணுகலை எளிதாக்கும்.
ஒசைரிஸ் ரான்சம்வேரின் திறன்கள்
ஒசைரிஸ் ஒரு முதிர்ந்த மற்றும் பயனுள்ள குறியாக்க பேலோடாக விவரிக்கப்பட்டுள்ளது, இது அனுபவம் வாய்ந்த அச்சுறுத்தல் நடிகர்களால் இயக்கப்படும். இது ஒரு கலப்பின கிரிப்டோகிராஃபிக் மாதிரியை செயல்படுத்துகிறது மற்றும் ஒவ்வொரு கோப்பிற்கும் ஒரு தனித்துவமான குறியாக்க விசையை உருவாக்குகிறது, இது மீட்பு முயற்சிகளை கணிசமாக சிக்கலாக்குகிறது. ரான்சம்வேர் விரிவான உள்ளமைவை ஆதரிக்கிறது, இதனால் ஆபரேட்டர்கள் பாதிக்கப்பட்ட சூழலுக்கு ஏற்ப செயல்படுத்தலை நன்றாக மாற்ற அனுமதிக்கிறது.
முக்கிய செயல்பாட்டு அம்சங்கள் பின்வருமாறு:
- சேவைகளை நிறுத்துதல், செயல்முறைகளை நிறுத்துதல் மற்றும் காப்புப்பிரதிகள் அல்லது மீட்பு வழிமுறைகளை முடக்குதல்.
- இலக்கு கோப்புறைகள் மற்றும் கோப்பு நீட்டிப்புகளை வரையறுத்தல், மற்றும் முடிந்ததும் தனிப்பயனாக்கப்பட்ட மீட்கும் குறிப்பை உருவாக்குதல்.
இயல்பாகவே, உற்பத்தித்திறன் மென்பொருள், மின்னஞ்சல் சேவையகங்கள், உலாவிகள், உரை திருத்திகள், தொகுதி நிழல் நகல் மற்றும் வீம் போன்ற நிறுவன காப்புப்பிரதி தளங்களுடன் தொடர்புடைய செயல்முறைகள் மற்றும் சேவைகளை தீவிரமாக நிறுத்த ஒசைரிஸ் கட்டமைக்கப்பட்டுள்ளது.
ஊடுருவலை ஆதரிக்கப் பயன்படுத்தப்படும் கருவிகள்
ரான்சம்வேரைத் தாண்டி, செயல்பாட்டுக் கட்டுப்பாட்டைப் பராமரிக்க தாக்குதல் நடத்தியவர்கள் உளவு பார்த்தல், பக்கவாட்டு இயக்கம் மற்றும் தொலை மேலாண்மை பயன்பாடுகள் ஆகியவற்றின் கருவித்தொகுப்பை நம்பியிருந்தனர். ஊடுருவலின் போது கவனிக்கப்பட்ட கருவிகளில் பின்வருவன அடங்கும்:
- நெட்வொர்க் கண்டுபிடிப்பு மற்றும் செயல்படுத்தலுக்கான நெட்ஸ்கின் மற்றும் நெட்எக்செக்.
- MeshAgent மற்றும் தொடர்ச்சியான தொலைநிலை அணுகலுக்கான Rustdesk தொலைநிலை டெஸ்க்டாப் பயன்பாட்டின் தனிப்பயனாக்கப்பட்ட உருவாக்கம்.
- மேகக்கணி சேமிப்பகத்திற்கு தானியங்கி தரவு வெளியேற்றத்திற்கான Rclone.
வளர்ந்து வரும் மிரட்டி பணம் பறித்தல் நிலப்பரப்புக்கான தாக்கங்கள்
ரான்சம்வேரை குறியாக்கம் செய்வது நிறுவனங்களுக்கு குறிப்பிடத்தக்க ஆபத்தை ஏற்படுத்தி வரும் அதே வேளையில், இந்த சம்பவம் பன்முக மிரட்டி பணம் பறித்தல் பிரச்சாரங்களை நோக்கிய பரந்த பரிணாமத்தை எடுத்துக்காட்டுகிறது. தரவு திருட்டு, தீங்கிழைக்கும் இயக்கிகள் மூலம் பாதுகாப்பு ஏய்ப்பு மற்றும் குறியாக்கமற்ற அல்லது கலப்பின தாக்குதல்களின் அதிகரித்து வரும் பரவல் ஆகியவை அச்சுறுத்தல் நிலப்பரப்பை விரிவுபடுத்துகின்றன. இதன் விளைவாக, ரான்சம்வேர் ஒரு பரந்த, மிகவும் சிக்கலான மிரட்டி பணம் பறித்தல் சுற்றுச்சூழல் அமைப்பிற்குள் ஒரு அங்கமாக மாறி வருகிறது, இது சமமாக தகவமைப்பு தற்காப்பு உத்திகளைக் கோருகிறது.
