ਕਿਲਿਨ ਰੈਨਸਮਵੇਅਰ ਗਰੁੱਪ

ਕਿਲਿਨ (ਜਿਸਨੂੰ ਏਜੰਡਾ, ਗੋਲਡ ਫੇਦਰ, ਅਤੇ ਵਾਟਰ ਗੈਲੂਰਾ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਅੱਜ ਸਰਗਰਮ ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਰੈਨਸਮਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ (RaaS) ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਬਣ ਗਿਆ ਹੈ। 2025 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਲੈ ਕੇ ਇਹ ਸਮੂਹ ਹਰ ਮਹੀਨੇ 40 ਤੋਂ ਵੱਧ ਪੀੜਤਾਂ ਨੂੰ ਪੋਸਟ ਕਰ ਰਿਹਾ ਹੈ (ਜਨਵਰੀ ਇਕੱਲਾ ਅਪਵਾਦ ਸੀ), ਜੂਨ ਵਿੱਚ ਲਗਭਗ 100 ਲੀਕ-ਸਾਈਟ ਐਂਟਰੀਆਂ 'ਤੇ ਸਿਖਰ 'ਤੇ ਪਹੁੰਚ ਗਿਆ ਅਤੇ ਅਗਸਤ ਅਤੇ ਸਤੰਬਰ 2025 ਵਿੱਚ ਹਰੇਕ ਵਿੱਚ 84 ਪੀੜਤਾਂ ਨੂੰ ਰਿਕਾਰਡ ਕੀਤਾ। ਲਗਭਗ ਜੁਲਾਈ 2022 ਤੋਂ ਸਰਗਰਮ, ਕਿਲਿਨ ਦੀ ਗਤੀ ਅਤੇ ਰਣਨੀਤੀਆਂ ਇਸਨੂੰ ਦੁਨੀਆ ਭਰ ਦੇ ਉੱਦਮਾਂ ਲਈ ਇੱਕ ਉੱਚ-ਜੋਖਮ ਵਾਲਾ ਐਕਟਰ ਬਣਾਉਂਦੀਆਂ ਹਨ।

ਕਿਸਨੂੰ ਮਾਰਿਆ ਗਿਆ - ਭੂਗੋਲ ਅਤੇ ਉਦਯੋਗ

ਘਟਨਾ ਟੈਲੀਮੈਟਰੀ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਕਿਲਿਨ ਦੇ ਪੀੜਤ ਉੱਤਰੀ ਅਮਰੀਕਾ ਅਤੇ ਪੱਛਮੀ ਯੂਰਪ ਵਿੱਚ ਕੇਂਦ੍ਰਿਤ ਹਨ, ਜਿਸ ਵਿੱਚ ਸੰਯੁਕਤ ਰਾਜ, ਕੈਨੇਡਾ, ਯੂਨਾਈਟਿਡ ਕਿੰਗਡਮ, ਫਰਾਂਸ ਅਤੇ ਜਰਮਨੀ ਸਭ ਤੋਂ ਵੱਧ ਪ੍ਰਭਾਵਿਤ ਦੇਸ਼ਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਸਮੂਹ ਕੁਝ ਖਾਸ ਖੇਤਰਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ: ਨਿਰੀਖਣ ਕੀਤੇ ਗਏ ਟੀਚਿਆਂ ਦਾ ਲਗਭਗ 23% ਨਿਰਮਾਣ, ਪੇਸ਼ੇਵਰ ਅਤੇ ਵਿਗਿਆਨਕ ਸੇਵਾਵਾਂ ਲਗਭਗ 18%, ਅਤੇ ਥੋਕ ਵਪਾਰ ਲਗਭਗ 10% ਹੈ।

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਜਮਾਉਣਾ

ਜਾਂਚਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਬਹੁਤ ਸਾਰੇ ਕਿਲਿਨ ਐਫੀਲੀਏਟ ਘੁਸਪੈਠ ਡਾਰਕ-ਵੈੱਬ ਰਿਪੋਜ਼ਟਰੀਆਂ ਤੋਂ ਪ੍ਰਾਪਤ ਲੀਕ ਹੋਏ ਪ੍ਰਸ਼ਾਸਕੀ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ। ਵਿਰੋਧੀ ਉਹਨਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ VPN ਇੰਟਰਫੇਸ ਰਾਹੀਂ ਲੌਗਇਨ ਕਰਨ ਲਈ ਕਰਦੇ ਹਨ ਅਤੇ ਫਿਰ ਡੋਮੇਨ ਕੰਟਰੋਲਰਾਂ ਅਤੇ ਹੋਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਅੰਤਮ ਬਿੰਦੂਆਂ ਨਾਲ RDP ਕਨੈਕਸ਼ਨ ਕਰਦੇ ਹਨ। ਉੱਥੋਂ, ਉਹ ਵਾਤਾਵਰਣ ਮੈਪਿੰਗ ਅਤੇ ਡੂੰਘੇ ਖੋਜ ਵਿੱਚ ਜਾਂਦੇ ਹਨ।

ਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਕਟਾਈ ਅਤੇ ਸੰਦ

ਕਿਲਿਨ ਮੁਹਿੰਮਾਂ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ-ਕਟਾਈ ਦੇ ਸਾਧਨਾਂ ਅਤੇ ਤਕਨੀਕਾਂ ਦੀ ਵਿਆਪਕ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ। ਆਪਰੇਟਰ ਅਤੇ ਸਹਿਯੋਗੀ ਬ੍ਰਾਊਜ਼ਰਾਂ, ਸਿਸਟਮ ਸਟੋਰਾਂ ਅਤੇ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਤੋਂ ਰਾਜ਼ ਕੱਢਣ ਲਈ WebBrowserPassView.exe, BypassCredGuard.exe, ਅਤੇ SharpDecryptPwd ਵਰਗੀਆਂ ਉਪਯੋਗਤਾਵਾਂ ਦੇ ਨਾਲ ਮਿਮਿਕਾਟਜ਼ ਚਲਾਉਂਦੇ ਹਨ। ਹਾਰਵੈਸਟ ਕੀਤੇ ਗਏ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਬਾਹਰੀ SMTP ਸਰਵਰਾਂ ਵਿੱਚ ਐਕਸਫਿਲਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਜੰਗਲੀ ਵਿੱਚ ਦੇਖੇ ਗਏ ਮਿਮਿਕਾਟਜ਼ ਵਰਤੋਂ ਵਿੱਚ ਇਹ ਕਾਰਵਾਈਆਂ ਸ਼ਾਮਲ ਹਨ:

• ਵਿੰਡੋਜ਼ ਇਵੈਂਟ ਲੌਗ ਸਾਫ਼ ਕਰੋ ਅਤੇ ਨਹੀਂ ਤਾਂ ਨਿਸ਼ਾਨ ਮਿਟਾਓ;
• SeDebugPrivilege ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ;
• SQLite ਡੇਟਾਬੇਸ ਤੋਂ ਸੁਰੱਖਿਅਤ ਕੀਤੇ Chrome ਪਾਸਵਰਡ ਐਕਸਟਰੈਕਟ ਕਰੋ;
• ਪਿਛਲੇ ਲਾਗਇਨਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰੋ; ਅਤੇ
• RDP, SSH, ਅਤੇ Citrix ਲਈ ਵਾਢੀ ਸੰਰਚਨਾ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ।

ਜ਼ਮੀਨ ਤੋਂ ਬਾਹਰ ਰਹਿਣਾ ਅਤੇ ਜਾਇਜ਼ ਔਜ਼ਾਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨ ਸਪੱਸ਼ਟ ਮਾਲਵੇਅਰ ਨੂੰ ਜਾਇਜ਼ ਸਿਸਟਮ ਉਪਯੋਗਤਾਵਾਂ ਅਤੇ ਜਾਣੇ-ਪਛਾਣੇ ਐਡਮਿਨ ਟੂਲਸ ਨਾਲ ਮਿਲਾਉਂਦੇ ਹਨ। ਉਹਨਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਲਈ ਸਮੱਗਰੀ ਦੀ ਹੱਥੀਂ ਜਾਂਚ ਕਰਨ ਲਈ mspaint.exe, notepad.exe, ਅਤੇ iexplore.exe ਨਾਲ ਫਾਈਲਾਂ ਖੋਲ੍ਹਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਅਤੇ ਖਤਰਨਾਕ ਇਰਾਦੇ ਨੂੰ ਲੁਕਾਉਂਦੇ ਹੋਏ ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਰਿਮੋਟ ਸਰਵਰਾਂ 'ਤੇ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਲਈ ਸੱਚੇ ਸਾਈਬਰਡੱਕ ਕਲਾਇੰਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ।

ਚੋਰੀ ਹੋਏ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਕਿਵੇਂ ਲਾਭ ਉਠਾਇਆ ਜਾਂਦਾ ਹੈ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰ ਹੱਥ ਵਿੱਚ ਆ ਜਾਂਦੇ ਹਨ, ਤਾਂ ਕਿਲਿਨ ਐਕਟਰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ ਅਤੇ ਪਾਸੇ ਵੱਲ ਫੈਲਦੇ ਹਨ। ਐਲੀਵੇਟਿਡ ਐਕਸੈਸ ਦੀ ਵਰਤੋਂ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਰਿਮੋਟ ਮਾਨੀਟਰਿੰਗ ਐਂਡ ਮੈਨੇਜਮੈਂਟ (RMM) ਅਤੇ ਰਿਮੋਟ-ਐਕਸੈਸ ਉਤਪਾਦਾਂ - AnyDesk, Chrome ਰਿਮੋਟ ਡੈਸਕਟੌਪ, ਡਿਸਟੈਂਟ ਡੈਸਕਟੌਪ, GoToDesk, QuickAssist, ਅਤੇ ScreenConnect - ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਹੈ - ਹਾਲਾਂਕਿ ਖੋਜਕਰਤਾ (Talos) ਹਮੇਸ਼ਾ ਇਹ ਨਿਰਧਾਰਤ ਨਹੀਂ ਕਰ ਸਕੇ ਕਿ ਹਰੇਕ ਉਤਪਾਦ ਮੁੱਖ ਤੌਰ 'ਤੇ ਪਾਸੇ ਦੀ ਗਤੀ ਲਈ ਵਰਤਿਆ ਗਿਆ ਸੀ ਜਾਂ ਨਿਰੰਤਰ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ।

ਚੋਰੀ, ਦ੍ਰਿੜਤਾ, ਅਤੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ

ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਹਮਲਾਵਰ ਪਾਵਰਸ਼ੈਲ ਕ੍ਰਮਾਂ ਨੂੰ ਚਲਾਉਂਦੇ ਹਨ ਜੋ AMSI ਨੂੰ ਅਯੋਗ ਕਰਦੇ ਹਨ, TLS ਸਰਟੀਫਿਕੇਟ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬੰਦ ਕਰਦੇ ਹਨ, ਅਤੇ ਪ੍ਰਤਿਬੰਧਿਤ ਐਡਮਿਨ ਮੋਡ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ। ਉਹ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਕਿਲ-ਸਵਿੱਚ ਸ਼ੈਲੀ ਉਪਯੋਗਤਾਵਾਂ ਜਿਵੇਂ ਕਿ ਡਾਰਕ-ਕਿੱਲ ਅਤੇ HRSword ਨੂੰ ਵੀ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਸਥਿਰਤਾ ਅਤੇ ਗੁਪਤ ਕਮਾਂਡ-ਅਤੇ-ਨਿਯੰਤਰਣ ਲਈ ਉਹ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਅਤੇ ਸਿਸਟਮਬੀਸੀ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਰੈਨਸਮਵੇਅਰ ਡਿਪਲਾਇਮੈਂਟ ਅਤੇ ਸਫਾਈ

ਆਖਰੀ ਪੜਾਅ ਕਿਲਿਨ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤੈਨਾਤੀ ਹੈ: ਫਾਈਲਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਫਿਰੌਤੀ ਨੋਟਸ ਨੂੰ ਏਨਕ੍ਰਿਪਟਡ ਫੋਲਡਰਾਂ ਵਿੱਚ ਸੁੱਟਿਆ ਜਾਂਦਾ ਹੈ, ਵਿੰਡੋਜ਼ ਇਵੈਂਟ ਲੌਗਸ ਨੂੰ ਪੂੰਝ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਰਿਕਵਰੀ ਯਤਨਾਂ ਨੂੰ ਨਿਰਾਸ਼ ਕਰਨ ਲਈ ਵਾਲੀਅਮ ਸ਼ੈਡੋ ਕਾਪੀ ਸੇਵਾ (VSS) ਦੁਆਰਾ ਬਣਾਈਆਂ ਗਈਆਂ ਸਾਰੀਆਂ ਸ਼ੈਡੋ ਕਾਪੀਆਂ ਨੂੰ ਮਿਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਐਡਵਾਂਸਡ ਹਾਈਬ੍ਰਿਡ ਅਟੈਕ ਚੇਨ (ਵਿੰਡੋਜ਼ + BYOVD 'ਤੇ ਲੀਨਕਸ ਬਾਈਨਰੀ)
ਕੁਝ ਸੂਝਵਾਨ ਕਿਲਿਨ ਘਟਨਾਵਾਂ ਨੇ ਕਈ ਉੱਨਤ ਤਕਨੀਕਾਂ ਨੂੰ ਜੋੜਿਆ ਹੈ। ਆਪਰੇਟਰਾਂ ਨੇ ਇੱਕ Linux-ਕੰਪਾਈਲ ਕੀਤੀ ਰੈਨਸਮਵੇਅਰ ਬਾਈਨਰੀ ਤਾਇਨਾਤ ਕੀਤੀ ਹੈ ਪਰ ਇਸਨੂੰ Windows ਹੋਸਟਾਂ 'ਤੇ ਚਲਾਇਆ ਹੈ, ਉਸ ਪੇਲੋਡ ਨੂੰ 'ਆਪਣੇ ਖੁਦ ਦੇ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਲਿਆਓ' (BYOVD) ਤਕਨੀਕ ਨਾਲ ਰੱਖਿਆ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਜੋੜਿਆ ਹੈ, ਅਤੇ ਵਾਤਾਵਰਣ ਵਿੱਚੋਂ ਲੰਘਣ ਅਤੇ ਪੇਲੋਡ ਚਲਾਉਣ ਲਈ ਜਾਇਜ਼ IT ਪ੍ਰਬੰਧਨ ਟੂਲਿੰਗ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਇਹਨਾਂ ਹਮਲਿਆਂ ਵਿੱਚ eskle.sys ਡਰਾਈਵਰ ਨੂੰ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨ, ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਹਿੱਸੇ ਵਜੋਂ ਦੇਖਿਆ ਗਿਆ ਸੀ।

ਬੈਕਅੱਪ ਟਾਰਗੇਟਿੰਗ ਅਤੇ ਅਨੁਕੂਲਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ

ਕਿਲਿਨ ਨੇ ਖਾਸ ਤੌਰ 'ਤੇ ਵੀਮ ਬੈਕਅੱਪ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਬੈਕਅੱਪ ਡੇਟਾਬੇਸਾਂ ਦੇ ਵਿਰੁੱਧ ਵਿਸ਼ੇਸ਼ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕੱਢਣ ਵਾਲੇ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਰੈਨਸਮਵੇਅਰ ਛੱਡਣ ਤੋਂ ਪਹਿਲਾਂ ਸੰਗਠਨਾਂ ਦੇ ਆਫ਼ਤ-ਰਿਕਵਰੀ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਪ੍ਰਭਾਵਿਤ ਪੀੜਤਾਂ ਲਈ ਦਾਅ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧਾਇਆ।

ਫਿਸ਼ਿੰਗ ਅਤੇ ਨਕਲੀ ਕੈਪਟਚਾ ਡਿਲੀਵਰੀ ਵਿਧੀਆਂ

ਵੈਧ ਖਾਤੇ ਦੀ ਦੁਰਵਰਤੋਂ ਤੋਂ ਇਲਾਵਾ, ਕੁਝ ਘੁਸਪੈਠਾਂ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ ਜਾਂ ਕਲਾਉਡਫਲੇਅਰ R2 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਕਲਿਕਫਿਕਸ-ਸ਼ੈਲੀ ਦੇ ਨਕਲੀ ਕੈਪਚਾ ਪੰਨਿਆਂ ਨਾਲ ਸ਼ੁਰੂ ਹੋਈਆਂ। ਉਹ ਪੰਨੇ ਜਾਣਕਾਰੀ-ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਪੇਲੋਡ ਪ੍ਰਦਾਨ ਕਰਦੇ ਪ੍ਰਤੀਤ ਹੁੰਦੇ ਹਨ ਜੋ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਫਿਰ ਸ਼ੁਰੂਆਤੀ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਦੁਬਾਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਮੁੱਖ ਤਕਨੀਕਾਂ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇਖੇ ਗਏ, ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਿਮੋਟ ਐਕਸੈਸ ਅਤੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਇੱਕ SOCKS ਪ੍ਰੌਕਸੀ DLL ਤੈਨਾਤ ਕਰਨਾ।
• ਸਕ੍ਰੀਨਕਨੈਕਟ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ ਡਿਸਕਵਰੀ ਕਮਾਂਡਾਂ ਅਤੇ ਨੈੱਟਵਰਕ ਸਕੈਨਿੰਗ ਟੂਲਸ ਨੂੰ ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਟਾਰਗੇਟਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ।
• ਕਈ ਡੇਟਾਬੇਸਾਂ ਤੋਂ ਬੈਕਅੱਪ ਪ੍ਰਮਾਣ ਪੱਤਰ ਕੱਢਣ ਲਈ ਵੀਮ ਬੈਕਅੱਪ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ।
• ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਨੂੰ ਬੇਅਸਰ ਕਰਨ ਅਤੇ ਰੱਖਿਆਤਮਕ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ BYOVD ਹਮਲਿਆਂ ਵਿੱਚ eskle.sys ਡਰਾਈਵਰ ਦੀ ਵਰਤੋਂ ਕਰਨਾ।
• ਲੀਨਕਸ ਹੋਸਟਾਂ ਵਿੱਚ ਪਾਸੇ ਵੱਲ ਜਾਣ ਲਈ ਪੁਟੀ SSH ਕਲਾਇੰਟਸ ਨੂੰ ਤੈਨਾਤ ਕਰਨਾ।
• COROXY ਬੈਕਡੋਰ ਰਾਹੀਂ C2 ਟ੍ਰੈਫਿਕ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ SOCKS ਪ੍ਰੌਕਸੀ ਉਦਾਹਰਣਾਂ ਚਲਾਉਣਾ।
• ਲੀਨਕਸ ਰੈਨਸਮਵੇਅਰ ਬਾਈਨਰੀ ਨੂੰ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ 'ਤੇ ਲਿਜਾਣ ਲਈ WinSCP ਦੀ ਵਰਤੋਂ ਕਰਨਾ।
• ਵਿੰਡੋਜ਼ ਮਸ਼ੀਨਾਂ 'ਤੇ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਲੀਨਕਸ ਰੈਨਸਮਵੇਅਰ ਬਾਈਨਰੀ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਪਲੈਸ਼ਟੌਪ ਰਿਮੋਟ ਦੇ SRManager.exe ਦਾ ਲਾਭ ਉਠਾਉਣਾ।

ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਪ੍ਰਭਾਵ ਅਤੇ ਵਰਚੁਅਲਾਈਜੇਸ਼ਨ ਟਾਰਗੇਟਿੰਗ

ਲੀਨਕਸ ਬਾਈਨਰੀ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਸਮਰੱਥਾ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ: ਇੱਕ ਸਿੰਗਲ ਪੇਲੋਡ ਇੱਕ ਵਾਤਾਵਰਣ ਵਿੱਚ ਲੀਨਕਸ ਅਤੇ ਵਿੰਡੋਜ਼ ਦੋਵਾਂ ਸਿਸਟਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰ ਸਕਦਾ ਹੈ। ਹਾਲ ਹੀ ਵਿੱਚ, ਕਿਲਿਨ ਸੈਂਪਲਾਂ ਨੂੰ ਨੂਟੈਨਿਕਸ ਏਐਚਵੀ ਵਾਤਾਵਰਣਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਅਪਡੇਟ ਕੀਤਾ ਗਿਆ ਸੀ, ਜੋ ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਸਮੂਹ ਰਵਾਇਤੀ VMware ਤੈਨਾਤੀਆਂ ਤੋਂ ਪਰੇ ਆਧੁਨਿਕ ਹਾਈਪਰਕਨਵਰਜਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ।

ਸੰਖੇਪ

ਕਿਲਿਨ ਦਾ ਸੰਚਾਲਨ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ, ਜਾਇਜ਼ ਐਡਮਿਨ ਟੂਲਿੰਗ ਦੀ ਦੁਰਵਰਤੋਂ, BYOVD ਤਕਨੀਕਾਂ, ਬੈਕਅੱਪ ਸਿਸਟਮਾਂ 'ਤੇ ਨਿਸ਼ਾਨਾਬੱਧ ਹਮਲੇ, ਅਤੇ ਪ੍ਰਭਾਵ ਨੂੰ ਵੱਧ ਤੋਂ ਵੱਧ ਕਰਨ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਰੈਨਸਮਵੇਅਰ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸਫਾਈ, ਰਿਮੋਟ ਐਕਸੈਸ ਇੰਟਰਫੇਸਾਂ 'ਤੇ ਮਲਟੀਫੈਕਟਰ ਪ੍ਰਮਾਣੀਕਰਨ, ਬੈਕਅੱਪ ਸਿਸਟਮਾਂ ਦਾ ਵਿਭਾਜਨ, ਜਾਇਜ਼ ਰਿਮੋਟ-ਪ੍ਰਬੰਧਨ ਸਾਧਨਾਂ ਦੀ ਅਸਧਾਰਨ ਵਰਤੋਂ ਲਈ ਸਖ਼ਤ ਨਿਗਰਾਨੀ, ਅਤੇ ਡਰਾਈਵਰ-ਅਧਾਰਿਤ BYOVD ਗਤੀਵਿਧੀ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ। ਇਹ ਉਪਾਅ ਇਸ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਂਦੇ ਹਨ ਕਿ ਕਟਾਈ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਜਾਂ ਸਮਝੌਤਾ ਦੇ ਇੱਕ ਬਿੰਦੂ ਨਾਲ ਪੂਰੇ ਪੈਮਾਨੇ 'ਤੇ ਰੈਨਸਮਵੇਅਰ ਤੈਨਾਤੀ ਹੋਵੇਗੀ।