यूनिट 42, पालो ऑल्टो नेटवर्क्स की मैलवेयर विश्लेषण टीम ने ब्लैक बस्ता रैनसमवेयर समूह का विवरण देते हुए एक रिपोर्ट जारी की है, जो पहली बार अप्रैल 2022 में सामने आई थी और तब से लगातार बढ़ रही है।
रैंसमवेयर के उभरने के बाद से, समूह के सदस्य कंपनियों के वितरण और जबरन वसूली में बहुत सक्रिय रहे हैं। हमलावर एक साइबर क्राइम मार्केटप्लेस और ब्लॉग चलाते हैं जहां समूह अपने पीड़ितों के नाम, विवरण, प्रकाशन प्रतिशत, विज़िट की संख्या और किसी भी डेटा को बहिष्कृत करता है।
ब्लैक बस्ता अपना खुद का लीक पेज चलाता है
हालांकि सदस्य केवल कुछ ही महीनों के लिए सक्रिय रहे हैं, उनकी लीक साइट पर प्रकाशित जानकारी के अनुसार, वे पहले ही 75 से अधिक कंपनियों और संस्थानों से समझौता कर चुके हैं। पालो आल्टो नेटवर्क जांच के अन्य प्रमुख निष्कर्षों में शामिल हैं:
- रास हमलों के हिस्से के रूप में दोहरा जबरन वसूली करता है।
- रैंसमवेयर की तैनाती के पहले दो हफ्तों में लीक साइट पर कम से कम 20 पीड़ितों का डेटा प्रकाशित किया गया था।
- · कथित तौर पर समूह ने उपभोक्ता और औद्योगिक उत्पादों, ऊर्जा, संसाधनों और कृषि, विनिर्माण, उपयोगिताओं, परिवहन, सरकारी एजेंसियों, पेशेवर सेवाओं और परामर्श, और रियल एस्टेट क्षेत्रों में कई बड़ी कंपनियों को लक्षित किया है।
ब्लैक बस्ता - एक सारांश
ब्लैक बस्ता रैंसमवेयर एज ए सर्विस (रास) है जो पहली बार अप्रैल 2022 में सामने आया था। हालांकि, इस बात के सबूत हैं कि यह फरवरी से विकास में है। ब्लैक बस्ता संचालक दोहरी जबरन वसूली तकनीक का उपयोग करते हैं। न केवल वे लक्षित सिस्टम पर फ़ाइलों को एन्क्रिप्ट करते हैं और डिक्रिप्शन के लिए फिरौती की मांग करते हैं, वे डार्क वेब पर एक लीक साइट भी बनाए रखते हैं जहां वे पीड़ित द्वारा फिरौती का भुगतान नहीं करने पर संवेदनशील जानकारी जारी करने की धमकी देते हैं। रैंसमवेयर के पहली बार सामने आने के बाद से ही ब्लैक बस्ता के साझेदार ब्लैक बस्ता को फैलाने और जबरन वसूली करने में बहुत सक्रिय रहे हैं। हालाँकि वे केवल कुछ ही महीनों के लिए सक्रिय रहे हैं, उनके लीक साइट पर प्रकाशित जानकारी के अनुसार, इस प्रकाशन के समय तक वे पहले ही 75 से अधिक कंपनियों और संस्थानों को संक्रमित कर चुके हैं। यूनिट 42 ने कई ब्लैक बस्ता मामलों पर भी काम किया है।
ब्लैक बस्ता फाइलों के केवल कुछ हिस्सों को एन्क्रिप्ट करता है
रैनसमवेयर C++ में लिखा गया है और विंडोज और लिनक्स दोनों ऑपरेटिंग सिस्टम को प्रभावित करता है। यह ChaCha20 और RSA-4096 के संयोजन के साथ उपयोगकर्ताओं के डेटा को एन्क्रिप्ट करता है। एन्क्रिप्शन प्रक्रिया को तेज करने के लिए, रैनसमवेयर 64 बाइट्स के टुकड़ों में एन्क्रिप्ट करता है, एन्क्रिप्टेड सेक्शन के बीच 128 बाइट्स डेटा को एन्क्रिप्ट नहीं किया जाता है। जितनी तेजी से रैंसमवेयर एन्क्रिप्ट होता है, उतने ही अधिक सिस्टम को संभावित रूप से समझौता किया जा सकता है, इससे पहले कि बचाव में किक हो जाए। यह एक महत्वपूर्ण कारक है जिस पर भागीदार रैंसमवेयर-ए-ए-सर्विस समूह में शामिल होने पर ध्यान देते हैं।
QBot एक प्रवेश बिंदु के रूप में कार्य करता है
पालो अल्टो नेटवर्क्स की यूनिट 42 ने देखा है कि ब्लैक बस्ता रैंसमवेयर समूह QBot का उपयोग समझौता किए गए नेटवर्क पर पार्श्व रूप से स्थानांतरित करने के लिए अपने पहले प्रवेश बिंदु के रूप में कर रहा है। QBot, जिसे Qakbot के नाम से भी जाना जाता है, एक विंडोज़ मालवेयर स्ट्रेन है जो एक बैंकिंग ट्रोजन के रूप में शुरू हुआ और एक मैलवेयर ड्रॉपर के रूप में विकसित हुआ। इसका उपयोग अन्य रैनसमवेयर समूहों द्वारा भी किया गया है, जिसमें MegaCortex, ProLock, DoppelPaymer और Egregor शामिल हैं। जबकि इन रैंसमवेयर समूहों ने प्रारंभिक पहुंच के लिए QBot का उपयोग किया, ब्लैक बस्ता समूह को प्रारंभिक पहुंच और साइड-नेटवर्क वितरण दोनों के लिए QBot का उपयोग करते हुए देखा गया।
आगे और हमले होंगे
चूंकि 2022 में ब्लैक बस्ता हमले एक वैश्विक सनसनी और आवर्ती थे, इसलिए संभावना है कि सेवा के पीछे ऑपरेटर और/या उनके संबद्ध सहयोगी व्यवसायों को लक्षित करना और उगाही करना जारी रखेंगे। यह भी संभव है कि यह कोई नया ऑपरेशन न हो, बल्कि पिछले रैंसमवेयर समूह का रीबूट हो, जो अपने भागीदारों को इसके साथ लाया हो। रणनीति, तकनीक और प्रक्रियाओं में कई समानताओं के कारण - जैसे पीड़ित-शर्मनाक ब्लॉग, पुनर्प्राप्ति पोर्टल, बातचीत की रणनीति, और कितनी जल्दी ब्लैक बस्ता ने अपने पीड़ितों को घेर लिया - समूह में कोंटी समूह के वर्तमान या पूर्व सदस्य शामिल हो सकते हैं। इस विश्लेषण के बारे में अधिक जानकारी, जो ब्लू स्काई और क्यूबा जैसे अन्य हालिया रैंसमवेयर अध्ययनों का अनुसरण करती है, पालोअल्टोनेटवर्क्स यूनिट42 पर ऑनलाइन उपलब्ध है।
अधिक PaloAltoNetworks.com
पालो अल्टो नेटवर्क के बारे में पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।