ScRansom Ransomware
CosmicBeetle என அழைக்கப்படும் அச்சுறுத்தல் நடிகர், ScRansom எனப்படும் புதிய தனிப்பயன் ransomware மாறுபாட்டை அறிமுகப்படுத்தியுள்ளார், குறிப்பாக ஐரோப்பா, ஆசியா, ஆப்பிரிக்கா மற்றும் தென் அமெரிக்கா முழுவதும் சிறிய மற்றும் நடுத்தர வணிகங்களை (SMBs) குறிவைத்துள்ளார். கூடுதலாக, காஸ்மிக் பீட்டில் RansomHub குழுவின் துணை நிறுவனமாக செயல்படுவதாக சந்தேகிக்கப்படுகிறது.
முன்பு Scarab Ransomware ஐப் பயன்படுத்தி, CosmicBeetle இப்போது ScRansom க்கு மாறியுள்ளது, இது தொடர்ந்து வளர்ச்சியில் உள்ளது. ransomware அதிநவீனத்தில் முன்னணியில் இல்லாவிட்டாலும், குழு இன்னும் குறிப்பிடத்தக்க இலக்குகளை சமரசம் செய்ய முடிந்தது.
பொருளடக்கம்
காஸ்மின்பீட்டில் பலதரப்பட்ட துறைகளை குறிவைக்கிறது
ScRansom தாக்குதல்கள், உற்பத்தி, மருந்துகள், சட்டம், கல்வி, சுகாதாரம், தொழில்நுட்பம், விருந்தோம்பல், ஓய்வு, நிதிச் சேவை மற்றும் பிராந்திய அரசாங்கங்கள் உள்ளிட்ட பல்வேறு துறைகளை குறிவைத்துள்ளன.
NONAME என்றும் அழைக்கப்படும் CosmicBeetle, அதன் அச்சுறுத்தும் கருவித்தொகுப்பான Spacecolonக்கு மிகவும் அங்கீகரிக்கப்பட்டது, இது Scarab Ransomware ஐ உலகளவில் பாதிக்கப்பட்டவர்களுக்கு வழங்குவதற்கு முன்பு பயன்படுத்தப்பட்டது. நவம்பர் 2023 இல், கசிந்த லாக்பிட் பில்டரைப் பரிசோதித்து, மோசமான லாக்பிட் ரான்சம்வேர் குழுவை மீட்கும் குறிப்புகள் மற்றும் கசிவு தளங்களில் ஆள்மாறாட்டம் செய்ய முயற்சித்தது.
தாக்குதல் நடத்தியவர்களின் அடையாளம் மற்றும் தோற்றம் தெளிவாக இல்லை. ScHackTool எனப்படும் மற்றொரு கருவியில் காணப்படும் தனிப்பயன் குறியாக்க முறையின் காரணமாக, இப்போது சாத்தியமற்றதாகக் கருதப்படும் முந்தைய கோட்பாடு, துருக்கிய வம்சாவளியைச் சேர்ந்ததாக இருக்கலாம் என்று பரிந்துரைத்தது.
சைபர் கிரைமினல்களால் சுரண்டப்படும் பல பாதிப்புகள்
தாக்குதல் சங்கிலிகள் மிருகத்தனமான தாக்குதல்கள் மற்றும் பல அறியப்பட்ட பாதுகாப்பு பாதிப்புகளை பயன்படுத்துவதை அவதானித்தனர் (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2072, CVE-20722,20 -27532) இலக்கு சூழல்களை ஊடுருவுவதற்கு.
ஊடுருவல்களில், டெல்பி அடிப்படையிலான ScRansom Ransomware ஐப் பயன்படுத்துவதற்கு முன், பாதுகாப்பு செயல்முறைகளை நிறுத்தவும், கண்டறிதலைத் தவிர்க்கவும், Reaper, Darkside , மற்றும் RealBlindingEDR போன்ற பல்வேறு கருவிகளைப் பயன்படுத்துவதும் அடங்கும். குறியாக்க செயல்முறையை துரிதப்படுத்த ScRansom பகுதி குறியாக்கத்தைக் கொண்டுள்ளது மற்றும் நிலையான மதிப்புடன் கோப்புகளை மேலெழுதும், அவற்றை மீட்டெடுக்க முடியாதபடி செய்யும் 'ERASE' பயன்முறையையும் உள்ளடக்கியது.
RansomHub உடன் சாத்தியமான இணைப்பு
ஒரு வாரத்திற்குள் ஒரே கணினியில் ScRansom மற்றும் RansomHub பேலோடுகள் பயன்படுத்தப்படுவதைக் கண்டறிந்த infosec ஆராய்ச்சியாளர்களின் அவதானிப்புகளிலிருந்து RansomHubக்கான இணைப்பு எழுகிறது. புதிதாக தனிப்பயன் ransomware ஐ உருவாக்கும் சவால்களை எதிர்கொள்ளும் வகையில், CosmicBeetle LockBit இன் நற்பெயரைப் பெற முயற்சித்ததாகத் தெரிகிறது. இந்த மூலோபாயம் அவர்களின் ransomware இல் உள்ள குறைபாடுகளை மறைக்கவும், பாதிக்கப்பட்டவர்கள் மீட்கும் தொகையை செலுத்துவதற்கான வாய்ப்பை மேம்படுத்தவும் நோக்கமாக இருக்கலாம்.
Ransomware ஆபரேட்டர்கள் தங்கள் தீங்கு விளைவிக்கும் கருவிகளைப் புதுப்பிக்கிறார்கள்
ஜூலை 2024 முதல், Cicada3301 Ransomware உடன் தொடர்புடைய அச்சுறுத்தல் நடிகர்கள் (Repellent Scorpius என்றும் அழைக்கப்படுகிறது) தங்கள் என்க்ரிப்டரின் புதுப்பிக்கப்பட்ட பதிப்பைப் பயன்படுத்திக் காணப்படுகின்றனர். இந்த புதிய பதிப்பில் கட்டளை-வரி வாதமும் உள்ளது, --no-note, இது கணினியில் ஒரு மீட்புக் குறிப்பை எழுதுவதை குறியாக்கி தடுக்கிறது.
கூடுதலாக, புதுப்பிக்கப்பட்ட என்க்ரிப்டரில் கடின குறியிடப்பட்ட பயனர்பெயர்கள் அல்லது கடவுச்சொற்கள் பைனரிக்குள் இருக்காது. இருப்பினும், ஏற்கனவே உள்ள நற்சான்றிதழ்களைப் பயன்படுத்தி இது இன்னும் PsExec ஐ இயக்க முடியும், இது சமீபத்தில் Morphisec ஆல் குறிப்பிடப்பட்ட ஒரு நுட்பமாகும். சுவாரஸ்யமாக, இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் குழு Cicada3301 பெயரில் செயல்படுவதற்கு முன்பு நிகழ்ந்த பழைய சமரசங்களிலிருந்து தரவைக் கொண்டிருக்கலாம் என்பதற்கான ஆதாரங்களைக் கண்டறிந்துள்ளனர்.
அச்சுறுத்தல் நடிகர் முன்பு வேறு ransomware பிராண்டின் கீழ் செயல்பட்டிருக்கலாம் அல்லது பிற ransomware குழுக்களிடமிருந்து தரவைப் பெற்றிருக்கலாம் என்பதற்கான வாய்ப்புகளை இது எழுப்புகிறது.
