ब्लैक बस्ता रैनसमवेयर नई सोशल इंजीनियरिंग रणनीति का फायदा उठाता है

ब्लैक बस्ता रैनसमवेयर समूह, जो अपनी विकसित रणनीतियों के लिए जाना जाता है, ने अक्टूबर 2024 तक नए पेलोड वितरण तरीकों को अपना लिया है। अपने पारंपरिक रैनसमवेयर अभियानों के साथ-साथ, वे अब ज़बोट और डार्कगेट जैसे खतरों को वितरित करते हैं, जो समझौता लक्ष्यों के लिए उनके दृष्टिकोण में एक गणना किए गए बदलाव को दर्शाता है।

सोशल इंजीनियरिंग और ईमेल बमबारी का मिलन

ब्लैक बस्ता, लक्ष्य को प्रभावित करने के लिए एक प्रारंभिक कदम के रूप में ईमेल बमबारी का उपयोग करता है। इस रणनीति में पीड़ित के ईमेल को कई मेलिंग सूचियों में सब्सक्राइब करना शामिल है, जो प्रभावी रूप से वैध संचार को स्पैम की बाढ़ में डुबो देता है। ईमेल बमबारी के बाद, हमलावर सीधे प्रभावित उपयोगकर्ताओं तक पहुंचते हैं, भ्रम का लाभ उठाते हैं।

परिचित प्लेटफॉर्म पर छद्मवेश धारण करना

अगस्त 2024 में देखी गई एक उल्लेखनीय रणनीति में हमलावरों द्वारा Microsoft Teams जैसे प्लेटफ़ॉर्म पर IT कर्मचारी या सहायक कर्मचारी के रूप में खुद को पेश करना शामिल है। भरोसेमंद अंदरूनी लोगों के रूप में प्रस्तुत करके, वे लक्ष्य को आगे की बातचीत में शामिल होने के लिए राजी करते हैं। कुछ मामलों में, हमलावर लक्षित संगठन के वास्तविक IT कर्मचारियों का भी रूप धारण कर लेते हैं, जिससे उनकी विश्वसनीयता बढ़ जाती है।

समझौता करने के लिए रिमोट एक्सेस टूल का लाभ उठाना

पीड़ितों को अक्सर AnyDesk, TeamViewer या Microsoft के Quick Assist जैसे वैध रिमोट एक्सेस सॉफ़्टवेयर इंस्टॉल करने के लिए धोखा दिया जाता है। एक बार इंस्टॉल हो जाने के बाद, ये उपकरण हमलावरों को सिस्टम पर नियंत्रण प्रदान करते हैं। Microsoft की सुरक्षा टीम पहचानकर्ता Storm-1811 के तहत Quick Assist का फायदा उठाने वाले साइबर अपराधी समूह को ट्रैक करती है।

रिवर्स शेल्स और धमकी भरे क्यूआर कोड

रिमोट एक्सेस टूल के अलावा, हमलावर रिवर्स शेल स्थापित करने के लिए OpenSSH क्लाइंट का उपयोग करते हैं, जिससे वे समझौता किए गए सिस्टम को नियंत्रित करने में सक्षम होते हैं। एक अन्य विधि में विश्वसनीय मोबाइल डिवाइस को जोड़ने की आड़ में चैट प्लेटफ़ॉर्म के माध्यम से दुर्भावनापूर्ण क्यूआर कोड भेजना शामिल है। ये क्यूआर कोड संभवतः पीड़ितों को हानिकारक बुनियादी ढांचे पर पुनर्निर्देशित करते हैं या उनके क्रेडेंशियल चुरा लेते हैं।

पेलोड डिलीवरी: क्रेडेंशियल चोरी और अनुवर्ती हमले

एक बार पहुँच स्थापित हो जाने के बाद, हमलावर अतिरिक्त पेलोड तैनात करते हैं, जैसे कि कस्टम क्रेडेंशियल हार्वेस्टर, ज़बॉट या डार्कगेट। ये उपकरण उन्हें क्रेडेंशियल इकट्ठा करने, पीड़ित के वातावरण की गणना करने और आगे के हमलों के लिए मंच तैयार करने में सक्षम बनाते हैं। VPN कॉन्फ़िगरेशन फ़ाइलों की चोरी, समझौता किए गए क्रेडेंशियल्स के साथ मिलकर, हमलावरों को मल्टी-फ़ैक्टर प्रमाणीकरण को बायपास करने और सीधे लक्ष्य के नेटवर्क तक पहुँचने की अनुमति दे सकती है।

ब्लैक बस्टा की उत्पत्ति और शस्त्रागार

2022 में कॉन्टी रैनसमवेयर गिरोह के विघटन के बाद ब्लैक बस्ता एक स्वतंत्र समूह के रूप में उभरा। शुरुआत में QakBot बॉटनेट पर निर्भर रहने वाले इस समूह ने तब से विविधता ला दी है, अपने संचालन में परिष्कृत सोशल इंजीनियरिंग तकनीकों को एकीकृत किया है।

उनके मैलवेयर शस्त्रागार में शामिल हैं:

• नॉट्रैप (KNOTWRAP) : C/C++ में लिखा गया एक मेमोरी-ओनली ड्रॉपर, जो मेमोरी में पेलोड निष्पादित करने में सक्षम है।
• KNOTROCK : एक .NET उपयोगिता जिसका उपयोग रैनसमवेयर को तैनात करने के लिए किया जाता है।
• DAWNCRY : एक अन्य मेमोरी-ओनली ड्रॉपर जो हार्ड-कोडेड कुंजी का उपयोग करके एम्बेडेड संसाधनों को डिक्रिप्ट और निष्पादित करता है।
• पोर्टयार्ड : एक टनलर जो कस्टम बाइनरी प्रोटोकॉल का उपयोग करके कमांड-एंड-कंट्रोल (C2) सर्वर से जुड़ता है।
• COGSCAN : नेटवर्क होस्ट गणना के लिए एक .NET-आधारित टोही उपकरण।

धमकी देने के लिए हाइब्रिड दृष्टिकोण

ब्लैक बस्ता का विकास बॉटनेट पर निर्भरता से हाइब्रिड मॉडल में उनके संक्रमण को उजागर करता है जो तकनीकी परिष्कार को सामाजिक इंजीनियरिंग के साथ जोड़ता है। यह बदलाव लक्ष्य नेटवर्क में घुसपैठ करने के लिए उनकी अनुकूलनशीलता और दृढ़ संकल्प को रेखांकित करता है, जो साइबर सुरक्षा बचाव के लिए एक सतत चुनौती पेश करता है।

ब्लैक बस्ता के खिलाफ सतर्क रहना

ऐसे खतरों का मुकाबला करने के लिए, संगठनों को साइबर सुरक्षा जागरूकता को प्राथमिकता देनी चाहिए, मजबूत ईमेल फ़िल्टर लागू करने चाहिए, और कर्मचारियों को अनचाहे संचार और प्रतिरूपण रणनीति के खतरों के बारे में लगातार शिक्षित करना चाहिए। इस लगातार बदलते खतरे समूह द्वारा उत्पन्न जोखिमों को कम करने के लिए प्रभावी उपाय आवश्यक हैं।