हाल ही में, एक विशेषज्ञ ने ब्लैककैट या ALPHV समूह के रैनसमवेयर का विश्लेषण किया। दिलचस्प एसएफटीपी कार्यों के अलावा, एक कार्यान्वित डेटा विनाश समारोह भी वहां खोजा गया था। क्या यह डेटा जबरन वसूली के भविष्य का सुराग हो सकता है?
रैनसमवेयर-एज-ए-सर्विस (रास) और डेटा लीक (डीएलएस) के साथ, डेटा एक्सटॉर्शन परिदृश्य लगातार खतरे के कारकों से नए नवाचारों को देख रहा है, साथ ही उन्हें ट्रैक करने वाली सुरक्षा फर्मों के संक्षिप्तिकरण भी देख रहा है। इस संयुक्त रिपोर्ट में, Cyderes और Stairwell ने एक BlackCat/ALPHV प्रतिभागी के एक्सफिल्ट्रेशन टूल में मिली एक नई रणनीति के साक्ष्य की जांच की, जिसे Cyderes द्वारा एक जांच के दौरान खोजा गया था।
रैंसमवेयर की विस्तार से जांच
Cyderes में एक घटना के बाद, टीम ने BlackCat/ALPHV रैंसमवेयर जांच के संदर्भ में टूल को ढूंढा और उसका विश्लेषण किया। Cyderes ने एक प्रारंभिक मूल्यांकन किया और महसूस किया कि टूल हार्ड-कोडेड SFTP क्रेडेंशियल्स वाला एक एक्सफिल्ट्रेशन टूल है। Cyderes ने तब अतिरिक्त विश्लेषण के लिए Stairwell के आरंभिक उपकरण का उपयोग किया।
नमूना Stairwell's Threat Research Team को भी भेजा गया था, जहाँ विश्लेषण से आंशिक रूप से कार्यान्वित डेटा विनाश सुविधा का पता चला। रास को तैनात करने के बजाय संबद्ध स्तर के अभिनेताओं द्वारा डेटा विनाश का उपयोग डेटा जबरन वसूली परिदृश्य में एक प्रमुख बदलाव को चिह्नित करेगा और वित्तीय रूप से प्रेरित घुसपैठ अभिनेताओं के संतुलन को संकेत देगा जो वर्तमान में रास संबद्ध कार्यक्रमों के बैनर तले काम कर रहे हैं। शायद यह रैंसमवेयर ब्लैकमेल का एक नया स्तर हो सकता है।
टूल का उपयोग ब्लैकमैटर द्वारा भी किया जाता है
जांचा गया नमूना एक निष्पादन योग्य .NET फ़ाइल है जिसे FTP, SFTP और WebDAV प्रोटोकॉल का उपयोग करके डेटा एक्सफिल्ट्रेशन के लिए डिज़ाइन किया गया है और इसमें डिस्क पर फ़ाइलों को दूषित करने की कार्यक्षमता शामिल है जिन्हें एक्सफिल्टर किया गया है। इस नमूने का एक्सफिल्ट्रेशन व्यवहार, ब्लैकमैटर रैंसमवेयर समूह की कम से कम एक सहायक कंपनी द्वारा उपयोग किए जाने वाले .NET एक्सफिल्टरेशन टूल, एक्समैटर की पिछली रिपोर्टों से निकटता से मेल खाता है। ब्लैककैट/एएलपीएचवी रैंसमवेयर की तैनाती के संबंध में साइडर्स द्वारा नमूना देखा गया था, जो कथित तौर पर ब्लैकमैटर सहित कई रैंसमवेयर समूहों के सहयोगियों द्वारा संचालित है। सीढ़ी के नमूने की एक और तकनीकी परीक्षा उसकी वेबसाइट पर उपलब्ध है।
Staiwell.com पर अधिक