किलिन रैंसमवेयर समूह

किलिन (जिसे एजेंडा, गोल्ड फेदर और वाटर गैलुरा के नाम से भी जाना जाता है) आज सक्रिय सबसे विपुल रैंसमवेयर-एज़-ए-सर्विस (RaaS) संचालनों में से एक के रूप में विकसित हुआ है। 2025 की शुरुआत से, यह समूह प्रति माह 40 से अधिक पीड़ितों की जानकारी दर्ज कर रहा है (जनवरी एकमात्र अपवाद था), जून में लगभग 100 लीक-साइट प्रविष्टियाँ दर्ज की गईं और अगस्त और सितंबर 2025 में प्रत्येक में 84 पीड़ितों की जानकारी दर्ज की गई। लगभग जुलाई 2022 से सक्रिय, किलिन की गति और रणनीतियाँ इसे दुनिया भर के उद्यमों के लिए एक उच्च-जोखिम वाला समूह बनाती हैं।

कौन मारा गया - भूगोल और उद्योग

घटना टेलीमेट्री के विश्लेषण से पता चलता है कि क़िलिन के पीड़ित उत्तरी अमेरिका और पश्चिमी यूरोप में केंद्रित हैं, जिनमें संयुक्त राज्य अमेरिका, कनाडा, यूनाइटेड किंगडम, फ़्रांस और जर्मनी सबसे ज़्यादा प्रभावित देशों में शामिल हैं। समूह कुछ ख़ास क्षेत्रों को प्राथमिकता देता है: देखे गए लक्ष्यों में विनिर्माण क्षेत्र लगभग 23%, पेशेवर और वैज्ञानिक सेवाएँ लगभग 18%, और थोक व्यापार लगभग 10% हैं।

प्रारंभिक पहुँच और प्रारंभिक पैर जमाना

जांचकर्ताओं का मानना है कि किलिन से जुड़े कई संगठनों में घुसपैठ डार्क-वेब रिपॉजिटरी से प्राप्त लीक हुए प्रशासनिक क्रेडेंशियल्स से शुरू होती है। विरोधी इन क्रेडेंशियल्स का इस्तेमाल वीपीएन इंटरफ़ेस के ज़रिए लॉग इन करने और फिर डोमेन कंट्रोलर्स और अन्य असुरक्षित एंडपॉइंट्स से आरडीपी कनेक्शन बनाने के लिए करते हैं। इसके बाद, वे एनवायरनमेंट मैपिंग और गहन जासूसी की प्रक्रिया में लग जाते हैं।

क्रेडेंशियल हार्वेस्टिंग और टूलींग

किलिन अभियान क्रेडेंशियल-हार्वेस्टिंग टूल और तकनीकों का व्यापक उपयोग करते हैं। ऑपरेटर और सहयोगी, ब्राउज़र, सिस्टम स्टोर और अन्य अनुप्रयोगों से सीक्रेट्स निकालने के लिए Mimikatz के साथ-साथ WebBrowserPassView.exe, BypassCredGuard.exe और SharpDecryptPwd जैसी उपयोगिताओं का उपयोग करते हैं। विज़ुअल बेसिक स्क्रिप्ट का उपयोग करके, प्राप्त क्रेडेंशियल्स को बाहरी SMTP सर्वरों में एक्सफ़िल्टर किया जाता है। Mimikatz के उपयोग में निम्नलिखित क्रियाएँ शामिल थीं:

• विंडोज़ इवेंट लॉग साफ़ करें और अन्यथा निशान मिटा दें;
• SeDebugPrivilege सक्षम करें;
• SQLite डेटाबेस से सहेजे गए क्रोम पासवर्ड निकालें;
• पिछले लॉगऑन से क्रेडेंशियल्स पुनर्प्राप्त करें; और
• आरडीपी, एसएसएच और सिट्रिक्स के लिए हार्वेस्ट कॉन्फ़िगरेशन और क्रेडेंशियल्स।

ज़मीन से दूर रहना और वैध साधनों का दुरुपयोग

खतरा पैदा करने वाले लोग स्पष्ट मैलवेयर को वैध सिस्टम उपयोगिताओं और जाने-माने एडमिन टूल्स के साथ मिला देते हैं। उन्हें संवेदनशील जानकारी के लिए सामग्री की मैन्युअल रूप से जांच करने के लिए mspaint.exe, notepad.exe और iexplore.exe के साथ फाइलें खोलते हुए देखा गया है, और दुर्भावनापूर्ण इरादे को छिपाते हुए चुनी हुई फाइलों को दूरस्थ सर्वर पर स्थानांतरित करने के लिए प्रामाणिक साइबरडक क्लाइंट का उपयोग करते हुए देखा गया है।

चोरी किए गए क्रेडेंशियल्स का लाभ कैसे उठाया जाता है

एक बार क्रेडेंशियल हाथ में आ जाने पर, क़िलिन एक्टर्स विशेषाधिकारों को बढ़ाते हैं और पार्श्विक रूप से फैलते हैं। उन्नत पहुँच का उपयोग विभिन्न प्रकार के दूरस्थ निगरानी और प्रबंधन (आरएमएम) और दूरस्थ-पहुँच उत्पादों—एनीडेस्क, क्रोम रिमोट डेस्कटॉप, डिस्टेंट डेस्कटॉप, गोटूडेस्क, क्विकअसिस्ट और स्क्रीनकनेक्ट—को स्थापित करने के लिए किया गया है, हालाँकि शोधकर्ता (टैलोस) हमेशा यह निर्धारित नहीं कर पाए कि प्रत्येक उत्पाद का उपयोग मुख्य रूप से पार्श्विक गति के लिए किया गया था या स्थायी दूरस्थ नियंत्रण के लिए।

चोरी, दृढ़ता और शोषण के बाद

पता लगाने से बचने के लिए, हमलावर पावरशेल अनुक्रमों का प्रयोग करते हैं जो AMSI को निष्क्रिय कर देते हैं, TLS प्रमाणपत्र सत्यापन को बंद कर देते हैं, और प्रतिबंधित एडमिन मोड को सक्षम कर देते हैं। वे सुरक्षा उत्पादों को समाप्त करने के लिए डार्क-किल और HRSword जैसी किल-स्विच शैली की उपयोगिताओं का भी प्रयोग करते हैं। दृढ़ता और गुप्त कमांड-एंड-कंट्रोल के लिए, वे कोबाल्ट स्ट्राइक और सिस्टमबीसी का उपयोग करते हैं।

रैंसमवेयर की तैनाती और सफाई

अंतिम चरण है किलिन रैनसमवेयर की तैनाती: फाइलें एन्क्रिप्ट की जाती हैं, एन्क्रिप्टेड फ़ोल्डरों में फिरौती के नोट डाल दिए जाते हैं, विंडोज इवेंट लॉग मिटा दिए जाते हैं, और पुनर्प्राप्ति प्रयासों को विफल करने के लिए वॉल्यूम शैडो कॉपी सर्विस (वीएसएस) द्वारा बनाई गई सभी छाया प्रतियां हटा दी जाती हैं।

उन्नत हाइब्रिड आक्रमण श्रृंखलाएँ (विंडोज़ पर लिनक्स बाइनरी + BYOVD)
कुछ जटिल किलिन घटनाओं में कई उन्नत तकनीकों का संयोजन किया गया है। ऑपरेटरों ने लिनक्स-संकलित रैंसमवेयर बाइनरी तैनात की है, लेकिन इसे विंडोज़ होस्ट पर निष्पादित किया है, उस पेलोड को 'अपना खुद का भेद्य ड्राइवर लाओ' (BYOVD) तकनीक के साथ जोड़ा है ताकि सुरक्षा को निष्क्रिय किया जा सके, और पर्यावरण में आगे बढ़ने और पेलोड को निष्पादित करने के लिए वैध आईटी प्रबंधन टूल का उपयोग किया जा सके। इन हमलों में eskle.sys ड्राइवर को एक भेद्य ड्राइवर घटक के रूप में देखा गया था जिसका उपयोग सुरक्षा नियंत्रणों को निष्क्रिय करने, प्रक्रियाओं को समाप्त करने और पता लगाने से बचने के लिए किया जाता था।

बैकअप लक्ष्यीकरण और अनुकूलित क्रेडेंशियल चोरी

किलिन ने विशेष रूप से वीम बैकअप इन्फ्रास्ट्रक्चर को निशाना बनाया है। हमलावरों ने बैकअप डेटाबेस के खिलाफ विशेष क्रेडेंशियल निष्कर्षण उपकरणों का इस्तेमाल करके क्रेडेंशियल्स चुराए, रैंसमवेयर छोड़ने से पहले संगठनों के आपदा-पुनर्प्राप्ति प्लेटफार्मों को व्यवस्थित रूप से खतरे में डाला, जिससे प्रभावित पीड़ितों के लिए जोखिम काफी बढ़ गया।

फ़िशिंग और नकली कैप्चा वितरण तंत्र

वैध अकाउंट दुरुपयोग के अलावा, कुछ घुसपैठें स्पीयर-फ़िशिंग या क्लाउडफ्लेयर R2 पर होस्ट किए गए क्लिकफ़िक्स-शैली के नकली कैप्चा पेजों से शुरू हुईं। ये पेज सूचना चुराने वाले पेलोड प्रदान करते प्रतीत होते हैं जो क्रेडेंशियल्स चुरा लेते हैं, जिनका फिर से उपयोग प्रारंभिक नेटवर्क एक्सेस प्राप्त करने के लिए किया जाता है।

देखी गई प्रमुख तकनीकें और बुनियादी ढांचे में शामिल हैं:

• दूरस्थ पहुँच और कमांड निष्पादन को सक्षम करने के लिए SOCKS प्रॉक्सी DLL तैनात करना।
• पार्श्व गति लक्ष्यों का पता लगाने के लिए डिस्कवरी कमांड और नेटवर्क स्कैनिंग टूल चलाने के लिए स्क्रीनकनेक्ट का दुरुपयोग करना।
• एकाधिक डेटाबेस से बैकअप क्रेडेंशियल्स निकालने के लिए Veeam बैकअप सिस्टम को लक्षित करना।
• BYOVD हमलों में सुरक्षा सॉफ्टवेयर को निष्क्रिय करने और रक्षात्मक प्रक्रियाओं को समाप्त करने के लिए eskle.sys ड्राइवर का उपयोग करना।
• लिनक्स होस्ट में पार्श्विक रूप से स्थानांतरित करने के लिए PuTTY SSH क्लाइंट को तैनात करना।
• COROXY बैकडोर के माध्यम से C2 ट्रैफ़िक को अस्पष्ट करने के लिए विभिन्न निर्देशिकाओं में SOCKS प्रॉक्सी इंस्टेंस चलाना।
• लिनक्स रैनसमवेयर बाइनरी को विंडोज सिस्टम पर ले जाने के लिए WinSCP का उपयोग करना।
• लिनक्स रैनसमवेयर बाइनरी को सीधे विंडोज मशीनों पर निष्पादित करने के लिए स्प्लैशटॉप रिमोट के SRManager.exe का लाभ उठाना।

क्रॉस-प्लेटफ़ॉर्म प्रभाव और वर्चुअलाइज़ेशन लक्ष्यीकरण

लिनक्स बाइनरी क्रॉस-प्लेटफ़ॉर्म क्षमता प्रदान करता है: एक ही पेलोड एक वातावरण में लिनक्स और विंडोज दोनों सिस्टम को प्रभावित कर सकता है। हाल ही में, नुटैनिक्स AHV वातावरणों का पता लगाने के लिए किलिन नमूनों को अद्यतन किया गया है, जिससे यह प्रदर्शित होता है कि समूह पारंपरिक VMware परिनियोजनों से आगे बढ़कर आधुनिक हाइपरकन्वर्ज्ड इन्फ्रास्ट्रक्चर में लक्ष्यीकरण का विस्तार कर रहा है।

सारांश

किलिन का संचालन क्रेडेंशियल चोरी, वैध एडमिन टूल का दुरुपयोग, BYOVD तकनीकें, बैकअप सिस्टम पर लक्षित हमले, और क्रॉस-प्लेटफ़ॉर्म रैंसमवेयर को मिलाकर प्रभाव को अधिकतम करता है और पहचान से बचता है। सुरक्षा एजेंसियों को क्रेडेंशियल स्वच्छता, रिमोट एक्सेस इंटरफेस पर बहु-कारक प्रमाणीकरण, बैकअप सिस्टम का विभाजन, वैध रिमोट-मैनेजमेंट टूल्स के असामान्य उपयोग की कड़ी निगरानी, और ड्राइवर-आधारित BYOVD गतिविधि का पता लगाने के लिए नियंत्रणों को प्राथमिकता देनी चाहिए। ये उपाय इस संभावना को कम करते हैं कि क्रेडेंशियल चुराए जाने या किसी एक बिंदु से समझौता होने पर रैंसमवेयर का व्यापक पैमाने पर इस्तेमाल हो सकता है।