வெள்ளை முயல் ரான்சம்வேர்
டிசம்பரில், 2021 ஆம் ஆண்டின் இறுதிக்குள், அமெரிக்க வங்கிக்கு எதிரான தாக்குதலில் சைபர் கிரைம் நிலப்பரப்பில் ஒரு புதிய ransomware குடும்பம் தோன்றியது. ட்ரெண்ட் மைக்ரோ ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டு, ஒயிட் ராபிட் ransomware எனப் பயன்படுத்தப்பட்டது, இந்த அச்சுறுத்தல் இந்த வகை நவீன தீம்பொருளின் பல முழு-செயல்படுத்தும் பண்புகளைக் காட்டுகிறது. ஒயிட் ரேபிட்டின் குறியாக்க வழக்கம் மிகவும் சிக்கலற்றதாக இருந்தாலும், அதன் ஊடுருவும் செயல்களை மறைப்பதில் அதிக கவனம் செலுத்துகிறது. குறிப்பிட்ட விவரங்கள் வெள்ளை முயல் மற்றும் FIN8 எனப்படும் APT குழுவிற்கும் இடையே உள்ள தொடர்பைக் காட்டுகின்றன என்பதைக் கவனத்தில் கொள்ள வேண்டும்.
பொருளடக்கம்
வெள்ளை முயல் விவரங்கள்
தாக்குதலை ஆய்வு செய்த பிறகு, Infosec வல்லுநர்கள் கோபால்ட் ஸ்டிரைக்கைப் பயன்படுத்துவதன் மூலம் இலக்கு அமைப்புகளுக்கு வெள்ளை முயல் அனுப்பப்பட்டதற்கான அறிகுறிகளைக் கவனித்தனர் உண்மையான ஒயிட் ராபிட் பேலோட் பைனரி என்பது 100KB அளவுள்ள சிறிய கோப்பாகும், இது குறிப்பிடத்தக்க சரங்களையோ செயல்பாட்டையோ காட்டாது.
அதன் அழிவு திறன்களைத் திறக்க, வெள்ளை முயலுக்கு ஒரு குறிப்பிட்ட கட்டளை வரி கடவுச்சொல் தேவை. பின்னர், அச்சுறுத்தல் அதன் உள் கட்டமைப்பை மறைகுறியாக்கி அதன் குறியாக்க வழக்கத்தை செயல்படுத்தத் தொடங்கும். ransomware அச்சுறுத்தலால் இந்த குறிப்பிட்ட நுட்பம் பயன்படுத்தப்படுவது இது முதல் முறை அல்ல, இதற்கு முன்பு Egregor ransomware குடும்பம் அதன் தீங்கிழைக்கும் செயல்களை மறைக்க இதைப் பயன்படுத்தியது.
குறியாக்க செயல்முறை மற்றும் கோரிக்கைகள்
ஒயிட் ரேபிட் பரந்த அளவிலான கோப்பு வகைகளை குறிவைத்து, பூட்டப்பட்ட ஒவ்வொரு கோப்பிற்கும் ஒரே மாதிரியான மீட்புக் குறிப்பு செய்தியுடன் உரைக் கோப்பை உருவாக்குகிறது. உரைக் கோப்புகளின் பெயர்கள் '.scrypt.txt.' உடன் இணைக்கப்பட்ட தொடர்புடைய கோப்பின் பெயரின் கலவையாகும். அதன் குறியாக்க செயல்முறை தடைபடாமல் இருப்பதை உறுதிசெய்ய, அச்சுறுத்தலானது, தீம்பொருள் எதிர்ப்பு தயாரிப்புகள் போன்ற குறிப்பிட்ட செயல்முறைகள் மற்றும் சேவைகளை நிறுத்தும் திறன் கொண்டது. ஒயிட் ரேபிட் முக்கியமான பாதைகள் மற்றும் கோப்பகங்களில் உள்ள கோப்புகளைத் தவிர்ப்பதன் மூலம் கணினி செயலிழப்புகள் அல்லது முக்கியமான பிழைகள் ஏற்படுவதைத் தவிர்க்க முயற்சிக்கிறது. சில உதாரணங்கள் \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , மற்றும் பல.
வெள்ளை முயல் இரட்டை மிரட்டி பணம் பறிக்கும் திட்டத்தை நடத்தி வருவதாக மீட்புக் குறிப்பு காட்டுகிறது. கோப்புகள் பூட்டப்படுவதற்கு முன்பு, முக்கியமான தனிப்பட்ட தரவை வெற்றிகரமாக திருடியதாக ஹேக்கர்கள் கூறுகின்றனர். பாதிக்கப்பட்டவர்களுக்கு சைபர் கிரைமினல்களுடன் தொடர்பை ஏற்படுத்த 4 நாட்கள் அவகாசம் வழங்கப்படுகிறது அல்லது திருடப்பட்ட தகவல்கள் பொதுமக்களுக்கு வெளியிடப்படும் அல்லது போட்டியிடும் நிறுவனங்களுக்கு விற்கப்படும். தேவையான மறைகுறியாக்க விசையும் நீக்கப்படும், பூட்டப்பட்ட அனைத்து கோப்புகளையும் மீட்டெடுப்பது சாத்தியமற்றது.
FIN8 உடன் இணைப்பு
FIN8 APT குழு முதன்மையாக இணைய உளவு, ஊடுருவல் மற்றும் உளவு நடவடிக்கைகளில் ஈடுபட்டுள்ளது. குழுவை White Rabbit ransomware அச்சுறுத்தலுடன் இணைக்கும் சில விவரங்கள் உள்ளன. லோடெஸ்டோனின் ஆராய்ச்சியாளர்கள் கூறியது போல், வெள்ளை முயல் தாக்குதலின் ஒரு பகுதியாகக் காணப்பட்ட தீங்கிழைக்கும் URL முன்பு FIN8 குழுவுடன் தொடர்புடையது. கூடுதலாக, அவர்களின் கண்டுபிடிப்புகள், FIN8 இன் தீங்கிழைக்கும் கருவிகளின் ஒரு பகுதியாகக் கருதப்படும் பின்கதவான Badhatch இன் பதிப்பைப் பயன்படுத்துகிறது என்பதைக் காட்டுகிறது. White Rabbit மற்றும் FIN8 ஆகியவற்றுக்கு இடையேயான இணைப்புகள் தற்செயலாக இருந்தால் அல்லது குழு உண்மையில் அதன் செயல்பாடுகளை விரிவுபடுத்தி ransomware காட்சியில் நுழைகிறது என்பதைப் பார்க்க வேண்டும்.
