HavanaCrypt रैंसमवेयर खुद को नकली Google अपडेट के रूप में प्रदर्शित करता है

हवानाक्रिप्ट एक नया रैंसमवेयर है। इसका पता लगाना मुश्किल है, नकली Google अपडेट के रूप में खुद को प्रच्छन्न करता है और हमलों में माइक्रोसॉफ्ट के कार्यों का उपयोग करता है। जाहिरा तौर पर वे टोट को संचार के रूप में उपयोग करना चाहते हैं, क्योंकि ऐसी निर्देशिका स्पष्ट रूप से एन्क्रिप्ट नहीं की गई है।

कंपनियों के सुरक्षात्मक उपायों को दरकिनार करने के लिए हमलावर अक्सर अपने हमलों में उपयोगकर्ताओं के भरोसे का दुरुपयोग करते हैं। इसलिए, विश्वसनीय पता स्थान और होस्ट का उपयोग करना, जिसे अधिकांश कंपनियां वैध, सुरक्षित और श्वेतसूचीबद्ध मानती हैं, कोई नई बात नहीं है। उदाहरण के लिए, साइबर अपराधी AWS होस्टिंग का उपयोग करते हैं या अन्य "क्लीन" होस्ट या एड्रेस स्पेस को हाईजैक करते हैं। हालांकि, रैनसमवेयर हमलों के लिए न केवल विश्वसनीय पते का दुरुपयोग किया जाता है, बल्कि आम तौर पर विश्वसनीय उपकरण और एप्लिकेशन भी होते हैं जिनका उपयोग कई कंपनियों में किया जाता है।

हवानाक्रिप्ट सिर्फ एक टेस्ट रन?

“तदनुसार, पारंपरिक पहचान और रक्षा उपाय, जो स्थिर संकेतकों और हस्ताक्षरों पर भरोसा करते हैं या कुछ पता स्थानों, अनुप्रयोगों, उपयोगकर्ताओं या प्रक्रियाओं पर भरोसा करते हैं, बहुत पहले विफल हो गए। इसके बजाय, उद्यम साइबर सुरक्षा हमलावरों के वास्तविक टीटीपी (रणनीति, तकनीक, प्रक्रिया) के आधार पर व्यवहार पैटर्न का पता लगाने पर आधारित होनी चाहिए। किसी को एक सुरक्षा उपकरण या ऐसे दृष्टिकोण पर भरोसा नहीं करना चाहिए जो स्वचालित रूप से कुछ सिस्टम तत्वों को विश्वसनीय या अविश्वसनीय के रूप में वर्गीकृत करता है। हमलावर वास्तव में क्या कर रहे हैं, इसके लिए खतरा कम करने की जरूरत है। इसके लिए निरंतर अनुसंधान और विकास की आवश्यकता होती है, क्योंकि ये संभावित हमलों की भीड़ को देखते हुए लगभग हर रोज बदलते हैं। सुरक्षा उपायों में इन सभी पर विचार करने की आवश्यकता है," डैनियल थानोस, वीपी, आर्कटिक वुल्फ लैब्स बताते हैं।

हमले के बाद फिरौती की मांग नहीं

"यह बहुत संभावना है कि हवानाक्रिप्ट रैंसमवेयर के लेखक टोर ब्राउज़र के माध्यम से संवाद करने की योजना बना रहे हैं, क्योंकि टोर उन निर्देशिकाओं में से एक है जहां यह फाइलों को एन्क्रिप्ट होने से रोकता है। वर्तमान में, HavanaCrypt फिरौती का नोट नहीं छोड़ता है, जो यह संकेत दे सकता है कि यह अभी भी विकास में है। यदि यह वास्तव में अभी भी बीटा में है, तो कंपनियों को इसके लिए तैयार होने के अवसर का लाभ उठाना चाहिए। यदि टोर का उपयोग किया जाता है, तो ब्राउज़र को अवरुद्ध कर दिया जाना चाहिए - ज्यादातर कंपनियां वैसे भी टोर का उपयोग नहीं करती हैं," डैनियल थानोस कहते हैं।

हवानाक्रिप्ट के बारे में और जानें

• स्वयं को Google सॉफ़्टवेयर अपडेट एप्लिकेशन के रूप में प्रच्छन्न करें
• डिटेक्शन को बायपास करने के लिए कमांड और कंट्रोल सर्वर के रूप में Microsoft वेब होस्टिंग का उपयोग करता है
• QueueUserWorkItem फ़ंक्शन का उपयोग करता है, .NET सिस्टम की एक विधि। थ्रेडिंग नेमस्पेस। साथ ही, रैंसमवेयर फाइल एन्क्रिप्शन के दौरान कीपास पासवर्ड सेफ, एक ओपन-सोर्स पासवर्ड मैनेजर के मॉड्यूल का उपयोग करता है।
• एक .NET संकलित अनुप्रयोग है और Obfuscar द्वारा संरक्षित है, एक खुला स्रोत .NET पर्यवेक्षक जो .NET असेंबली में कोड की सुरक्षा करता है।
• वर्चुअल मशीन में चलते समय गतिशील विश्लेषण से बचने के लिए कई एंटी-वर्चुअलाइजेशन तकनीकें हैं।
• यह सुनिश्चित करने के बाद कि पीड़ित का कंप्यूटर वर्चुअल मशीन में नहीं चल रहा है, HavanaCrypt 2[.]20[.]227[.]128 से "33.txt" नाम की फ़ाइल डाउनलोड करता है, जो एक Microsoft वेब होस्टिंग सेवा का IP पता है। और इसे 20 से 25 यादृच्छिक वर्णों वाले फ़ाइल नाम के साथ एक बैच (.bat) फ़ाइल के रूप में सहेजता है।
• अपने एन्क्रिप्शन रूटीन के दौरान कीपास पासवर्ड सेफ के मॉड्यूल का उपयोग करता है। विशेष रूप से, यह एन्क्रिप्शन के लिए आवश्यक यादृच्छिक कुंजी उत्पन्न करने के लिए क्रिप्टोरैंडम फ़ंक्शन का उपयोग करता है।
• फ़ाइलों को एन्क्रिप्ट करता है और फ़ाइल नाम एक्सटेंशन के रूप में "हवाना" जोड़ता है।

आर्कटिकवॉल्फ डॉट कॉम पर अधिक

 

---

आर्कटिक वुल्फ के बारे में

आर्कटिक वुल्फ सुरक्षा संचालन में एक वैश्विक नेता है, जो साइबर जोखिम को कम करने के लिए पहला क्लाउड-देशी सुरक्षा संचालन मंच प्रदान करता है। समापन बिंदु, नेटवर्क और क्लाउड स्रोतों में फैले थ्रेट टेलीमेट्री के आधार पर, आर्कटिक वुल्फ® सिक्योरिटी ऑपरेशंस क्लाउड दुनिया भर में प्रति सप्ताह 1,6 ट्रिलियन से अधिक सुरक्षा घटनाओं का विश्लेषण करता है। यह लगभग सभी सुरक्षा उपयोग मामलों में कंपनी-महत्वपूर्ण अंतर्दृष्टि प्रदान करता है और ग्राहकों के विषम सुरक्षा समाधानों का अनुकूलन करता है। आर्कटिक वुल्फ प्लेटफॉर्म का उपयोग दुनिया भर में 2.000 से अधिक ग्राहक करते हैं। यह स्वचालित खतरे का पता लगाने और प्रतिक्रिया प्रदान करता है, जिससे सभी आकार के संगठनों को एक बटन के पुश पर विश्व स्तरीय सुरक्षा संचालन स्थापित करने में सक्षम बनाता है।

---

 

विषय से संबंधित लेख