Black Basta Ransomware नयाँ सामाजिक ईन्जिनियरिङ् रणनीति शोषण

Black Basta Ransomware समूह, यसको विकसित रणनीतिहरूका लागि परिचित, अक्टोबर 2024 सम्ममा नयाँ पेलोड डेलिभरी विधिहरू अपनाएको छ। तिनीहरूको परम्परागत ransomware अभियानहरूको साथसाथै, तिनीहरूले अब Zbot र DarkGate जस्ता खतराहरू वितरण गर्छन्, तिनीहरूले सम्झौता लक्ष्यहरूमा उनीहरूको दृष्टिकोणमा गणना गरिएको परिवर्तनलाई चित्रण गर्छन्।

सामाजिक ईन्जिनियरिङ् मेल बम इमेल

ब्ल्याक बास्टाले इमेल बम विष्फोटनलाई लक्ष्यहरू ओभर गर्नको लागि प्रारम्भिक चरणको रूपमा प्रयोग गर्दछ। यो रणनीतिले धेरै मेलिङ सूचीहरूमा पीडितको इमेल सदस्यता समावेश गर्दछ, प्रभावकारी रूपमा वैध संचारलाई स्पामको बाढीमा डुबाउँछ। इमेल बम विष्फोट पछि, आक्रमणकारीहरू प्रत्यक्ष रूपमा प्रभावित प्रयोगकर्ताहरूमा पुग्छन्, तिनीहरूको फाइदाको लागि भ्रमको फाइदा उठाउँदै।

परिचित प्लेटफर्महरूमा प्रतिरूपण

अगस्ट २०२४ मा अवलोकन गरिएको एउटा उल्लेखनीय कार्यनीतिमा माइक्रोसफ्ट टिम्स जस्ता प्लेटफर्महरूमा IT कर्मचारी वा समर्थन कर्मचारीको रूपमा लुकेर आक्रमणकारीहरू समावेश छन्। विश्वसनीय भित्री व्यक्तिहरूको रूपमा प्रस्तुत गरेर, उनीहरूले लक्ष्यहरूलाई थप अन्तरक्रियामा संलग्न हुन मनाउँछन्। कतिपय अवस्थामा, आक्रमणकारीहरूले लक्षित संस्थाका वास्तविक IT कर्मचारीहरूको नक्कल पनि गर्छन्, उनीहरूको विश्वसनीयता बढाउँदै।

सम्झौताको लागि रिमोट पहुँच उपकरणहरू प्रयोग गर्दै

पीडितहरूलाई प्रायः वैध रिमोट पहुँच सफ्टवेयर जस्तै AnyDesk, TeamViewer, वा Microsoft को Quick Assist स्थापना गर्न ठगी गरिन्छ। एक पटक स्थापना भएपछि, यी उपकरणहरूले आक्रमणकारीहरूलाई प्रणालीमा नियन्त्रण प्रदान गर्दछ। माइक्रोसफ्टको सुरक्षा टोलीले पहिचानकर्ता Storm-1811 अन्तर्गत क्विक असिस्टको शोषण गर्ने साइबर अपराधी समूहलाई ट्र्याक गर्छ।

रिभर्स शेलहरू र धम्की दिने QR कोडहरू

रिमोट पहुँच उपकरणहरूको अतिरिक्त, आक्रमणकारीहरूले ओपनएसएसएच क्लाइन्टलाई रिभर्स शेलहरू स्थापना गर्न प्रयोग गर्छन्, तिनीहरूलाई सम्झौता प्रणालीहरू नियन्त्रण गर्न सक्षम पार्दै। अर्को विधिमा च्याट प्लेटफर्महरू मार्फत विश्वसनीय मोबाइल उपकरण थप्ने आडमा मालिसियस QR कोडहरू पठाउने समावेश छ। यी QR कोडहरूले पीडितहरूलाई हानिकारक पूर्वाधारहरूमा पुन: निर्देशित गर्न वा तिनीहरूको प्रमाणहरू चोर्न सक्छ।

पेलोड डेलिभरी: प्रमाणपत्र चोरी र फलो-अन आक्रमणहरू

एक पटक पहुँच स्थापित भएपछि, आक्रमणकारीहरूले थप पेलोडहरू प्रयोग गर्छन्, जस्तै कस्टम क्रेडेन्सियल हार्भेस्टरहरू, Zbot, वा DarkGate। यी उपकरणहरूले तिनीहरूलाई प्रमाणहरू सङ्कलन गर्न, पीडितको वातावरण गणना गर्न, र थप आक्रमणहरूको लागि चरण सेट गर्न सक्षम बनाउँछ। VPN कन्फिगरेसन फाइलहरूको चोरी, सम्झौता गरिएका प्रमाणहरूसँग मिलाएर, आक्रमणकारीहरूलाई बहु-कारक प्रमाणीकरणलाई बाइपास गर्न र लक्ष्यको नेटवर्कमा सीधा पहुँच गर्न अनुमति दिन सक्छ।

कालो बस्ताको उत्पत्ति र आर्सेनल

ब्ल्याक बस्ता सन् २०२२ मा Conti ransomware गिरोहको विघटन पछि स्ट्यान्डअलोन समूहको रूपमा देखा पर्यो। प्रारम्भमा QakBot botnet मा भर पर्दै, समूहले आफ्नो सञ्चालनमा परिष्कृत सामाजिक ईन्जिनियरिङ् प्रविधिहरू एकीकृत गर्दै, विविधीकरण गरेको छ।

तिनीहरूको मालवेयर शस्त्रागार समावेश:

• KNOTWRAP : C/C++ मा लेखिएको मेमोरी-मात्र ड्रपर, मेमोरीमा पेलोडहरू कार्यान्वयन गर्न सक्षम।
• KNOTROCK : .NET उपयोगिता ransomware आफैं प्रयोग गर्न प्रयोग गरिन्छ।
• DAWNCRY : अर्को मेमोरी-मात्र ड्रपर जसले हार्ड-कोड गरिएको कुञ्जी प्रयोग गरेर इम्बेडेड स्रोतहरू डिक्रिप्ट र कार्यान्वयन गर्दछ।
• PORTYARD : एक टनेलर जसले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूलाई अनुकूलन बाइनरी प्रोटोकल प्रयोग गरेर जडान गर्दछ।
• COGSCAN : नेटवर्क होस्ट गणनाको लागि .NET-आधारित टोही उपकरण।

खतरा वितरणको लागि हाइब्रिड दृष्टिकोण

ब्ल्याक बास्ताको विकासले बोटनेटमा निर्भरताबाट एक हाइब्रिड मोडेलमा उनीहरूको संक्रमणलाई हाइलाइट गर्दछ जसले प्राविधिक परिष्कारलाई सामाजिक इन्जिनियरिङसँग जोड्दछ। यो परिवर्तनले तिनीहरूको अनुकूलनता र लक्ष्य नेटवर्कहरू घुसपैठ गर्ने दृढतालाई रेखांकित गर्दछ, साइबर सुरक्षा प्रतिरक्षाहरूमा निरन्तर चुनौती खडा गर्दछ।

कालो बस्ता विरुद्ध सतर्क रहनु

त्यस्ता धम्कीहरूको प्रतिरोध गर्न, संगठनहरूले साइबर सुरक्षा जागरूकतालाई प्राथमिकता दिनुपर्छ, बलियो इमेल फिल्टरहरू लागू गर्नुपर्दछ, र कर्मचारीहरूलाई अवांछित सञ्चार र प्रतिरूपण रणनीतिहरूको खतराहरू बारे निरन्तर शिक्षित गर्नुपर्दछ। यस सँधै अनुकूलन गर्ने खतरा समूहले निम्त्याउने जोखिमहरूलाई कम गर्न प्रभावकारी उपायहरू आवश्यक छन्।