केओस राएस ह्याकर समूह

केओस भनिने भर्खरै देखा परेको र्‍यान्समवेयर-एज-ए-सर्भिस (RaaS) अपरेशनले खतराको परिदृश्यमा प्रवेश गरेको छ, जसले साइबर सुरक्षा समुदाय भित्र चिन्ता बढाएको छ। फेब्रुअरी २०२५ मा पहिलो पटक अवलोकन गरिएको, केओस ब्ल्याकसूट टोलीका पूर्व सदस्यहरूसँग नजिकबाट सम्बन्धित देखिन्छ, एउटा समूह जसको डार्क वेब पूर्वाधार हालै अपरेशन चेकमेटको क्रममा कानून प्रवर्तनद्वारा भत्काइएको थियो। यसको नामको बावजुद, केओस यश्मा वा लकी_Gh0$t जस्ता पहिलेका केओस र्यान्समवेयर निर्माणकर्ताहरूसँग सम्बन्धित छैन, जसले पहिले नै जटिल खतरामा जानाजानी भ्रमको तह थप्छ।

अराजकताको रणनीति: स्पाम देखि सामाजिक इन्जिनियरिङ सम्म

केओस अभिनेताहरूद्वारा प्रयोग गरिएको आक्रमण श्रृंखला कम प्रयास स्पाम बाढीबाट सुरु हुन्छ र चाँडै भ्वाइस फिसिङ (भिशिङ) मा बढ्छ। धम्की अभिनेताहरूले यी प्रविधिहरू प्रयोग गरेर लक्षितहरूलाई रिमोट डेस्कटप सफ्टवेयर, विशेष गरी माइक्रोसफ्ट क्विक असिस्ट, स्थापना गर्न, प्रारम्भिक पहुँच प्राप्त गर्न छल गर्छन्।

भित्र पसेपछि, तिनीहरूले सम्झौता गरिएका नेटवर्कहरूमा निरन्तर नियन्त्रण स्थापित गर्न AnyDesk, ScreenConnect, OptiTune, Syncro RMM, र Splashtop जस्ता रिमोट मोनिटरिङ र व्यवस्थापन (RMM) उपकरणहरूको एक शस्त्रागार तैनाथ गर्छन्। सम्झौता पछिका कार्यहरूमा पहिचान र प्रतिक्रिया क्षमताहरूलाई कमजोर पार्न क्रेडेन्सियल कटाई, PowerShell घटना लग मेटाउने, र सुरक्षा उपकरणहरू हटाउने समावेश छ।

ठूला-शिकारको शिकार र दोहोरो जबरजस्ती रकम असुल

केओसले ठूलो खेल खोज्ने रणनीति अपनाएको छ, उच्च-मूल्य भएका संस्थाहरूलाई दोहोरो जबरजस्ती असुली प्रविधिहरूद्वारा लक्षित गर्दै। यसको अर्थ फाइलहरू इन्क्रिप्ट गर्नु मात्र होइन तर फिरौती नतिरेसम्म चोरी भएको डाटा चुहावट गर्ने धम्की पनि हो। समूहले गुडसिन्क, एक वैध फाइल-सिंकिङ सफ्टवेयर, प्रयोग गर्दछ, रन्समवेयर पेलोड सुरु गर्नु अघि संवेदनशील डाटा बाहिर निकाल्न।

अन्तिम चरणमा स्थानीय र नेटवर्क स्रोतहरू दुवैलाई द्रुत रूपमा इन्क्रिप्ट गर्न सक्षम बहु-थ्रेडेड र्‍यान्समवेयर बाइनरी तैनाथ गर्नु समावेश छ। रिकभरी प्रयासहरूलाई थप निराश पार्न र पत्ता लगाउनबाट बच्न, र्‍यान्समवेयरले उन्नत एन्टी-विश्लेषण रणनीतिहरू प्रयोग गर्दछ, जसमा भर्चुअल मेसिनहरू, डिबगिङ उपकरणहरू, स्वचालित स्यान्डबक्सहरू, र अन्य खतरा विश्लेषण वातावरणहरू विरुद्ध सुरक्षा समावेश छ।

क्रस-प्लेटफर्म अनुकूलता र भारी फिरौती

Chaos ransomware उल्लेखनीय रूपमा बहुमुखी छ, जसको Windows, Linux, ESXi, र NAS प्रणालीहरूमा पुष्टि गरिएको अनुकूलता छ। आक्रमणकारीहरूले डिक्रिप्शन उपकरण र आक्रमण श्रृंखला र सुरक्षा सिफारिसहरू समावेश गर्ने 'विस्तृत प्रवेश सिंहावलोकन' को बदलामा ठूलो फिरौती, सामान्यतया $300,000 माग गर्छन्।

धेरैजसो ज्ञात पीडितहरू संयुक्त राज्य अमेरिकामा आधारित छन्, जसले गर्दा यो विकसित खतराको लागि यो प्राथमिक लक्षित क्षेत्र बनेको छ।

विगतका प्रतिध्वनिहरू: अराजकता र ब्ल्याकसूट जडान

केओस एउटा नयाँ नाम भए पनि, यसको प्रविधि र पूर्वाधारले स्पष्ट वंश प्रकट गर्दछ। विश्लेषकहरूले ब्ल्याकसूट सञ्चालनहरूसँग बलियो ओभरल्यापहरू उल्लेख गरेका छन्, जसमा समानताहरू समावेश छन्:

• गुप्तिकरण आदेशहरू
• फिरौती नोटहरूको संरचना र स्वर
• समान RMM उपकरणहरूको प्रयोग

यो महत्वपूर्ण छ किनकि ब्ल्याकसुट आफैं रोयलको पुन: ब्रान्डिङ थियो, जुन कुख्यात कन्टी र्‍यान्समवेयर सिन्डिकेटबाट आएको थियो। परिवर्तनशील पहिचानहरूले देखाउँछन् कि यी खतरा अभिनेताहरू कसरी कानून प्रवर्तन भन्दा अगाडि रहन र सञ्चालन गति कायम राख्न पुन: ब्रान्डिङ र पुनर्गठन गर्छन्।

अपरेशन चेकमेट: कानून प्रवर्तनको लागि एक रणनीतिक जित

केओसको उदय ब्ल्याकसूटको डार्क वेब पूर्वाधारको हटाउने कार्यमा कानून प्रवर्तनकर्ताहरूको प्रमुख विजयसँग मेल खान्छ। तिनीहरूका जफत गरिएका साइटहरूमा आगन्तुकहरूले अब अमेरिकी होमल्याण्ड सेक्युरिटी इन्भेस्टिगेसनको स्प्ल्याश पृष्ठको सामना गर्छन्, जसले समन्वित अन्तर्राष्ट्रिय प्रयासको भागको रूपमा साइटहरू जफत गरिएको घोषणा गर्दछ। यद्यपि, अधिकारीहरूले अहिलेसम्म अपरेशनको बारेमा आधिकारिक बयान जारी गरेका छैनन्।

अन्तिम विचार: अराजकताले परिष्कार र छल ल्याउँछ

अराजकताले परिष्कृत व्यापारिक शिल्प र भ्रामक ब्रान्डिङको खतरनाक मिश्रणलाई प्रतिनिधित्व गर्दछ। वैध उपकरणहरू, लक्षित आक्रमणहरू, र पत्ता लगाउने विरोधी रणनीतिहरूको यसको प्रयोगले यसलाई एक महत्त्वपूर्ण खतरा बनाउँछ। संस्थाहरूले सतर्क रहनु पर्छ र मालवेयर मात्र होइन तर यसको प्रारम्भिक सफलतालाई सक्षम बनाउने सामाजिक इन्जिनियरिङ रणनीतिहरू विरुद्ध पनि प्रतिरक्षा बलियो बनाउनु पर्छ।