ब्लैकमैटर रैंसमवेयर स्ट्रेन जिसका उपयोग हाल के महीनों में अमेरिकी महत्वपूर्ण बुनियादी ढांचा संस्थाओं और अन्य बड़े संगठनों के खिलाफ कई हमलों में किया गया है, इसके कोड में एक गंभीर तर्क दोष है जो कुछ स्थितियों में मैलवेयर की प्रभावशीलता को सीमित करता है।

इल्यूसिव ने शुक्रवार को एक रिपोर्ट में कहा कि संगठन जो दोषपूर्ण तर्क को ट्रिगर कर सकते हैं, ब्लैकमैटर अपने पर्यावरण में होने वाले नुकसान को संभावित रूप से कम कर सकते हैं।

भ्रामक शोधकर्ताओं ने दोष का पता लगाया जब उन्होंने देखा कि रैंसमवेयर कंपनी के परीक्षण वातावरण में दूरस्थ कंप्यूटरों के शेयरों को एन्क्रिप्ट करने में विफल रहा है। कोड के एक करीब से निरीक्षण से पता चला है कि ब्लैकमैटर उसी नेटवर्क में अन्य कंप्यूटरों को तभी एन्क्रिप्ट करता है जब पर्यावरण किसी विशेष तरीके से कॉन्फ़िगर किया गया हो।

इल्यूसिव के सुरक्षा शोधकर्ता शहर ज़ेलिग कहते हैं, तर्क दोष संगठनों को ब्लैकमैटर को फ़ाइल शेयरों को एन्क्रिप्ट करने से रोकने का एक तरीका देता है।

“लेकिन यह ध्यान रखना महत्वपूर्ण है कि समझौता किए गए डिवाइस को अभी भी एन्क्रिप्ट किया जाएगा, ” वे कहते हैं। “और अगर किसी हमलावर ने कई उपकरणों से समझौता किया है, तो वह अभी भी उन सभी उपकरणों को एन्क्रिप्ट करने के लिए ब्लैकमैटर चला सकता है। यह तर्क दोष विशेष रूप से दूरस्थ शेयरों के बारे में है।”

ब्लैकमैटर डार्कसाइड रैंसमवेयर-ए-ए-सर्विस ऑपरेशन के बंद होने के तुरंत बाद जुलाई 2021 में सामने आया। औपनिवेशिक पाइपलाइन जिसने चिंता को उकसाया – और प्रतिक्रिया – व्हाइट हाउस से लेकर नीचे तक। डार्कसाइड की तरह, ब्लैकमैटर को रैंसमवेयर-ए-ए-सर्विस मॉडल के तहत वितरित किया जा रहा है। मैलवेयर का इस्तेमाल अमेरिकी खाद्य और कृषि क्षेत्र से संबंधित कम से कम दो संगठनों और कई अन्य महत्वपूर्ण बुनियादी ढांचे के लक्ष्यों के खिलाफ हमलों में किया गया है। रैंसमवेयर के संचालकों ने अमेरिका, कनाडा, यूके, भारत, ब्राजील, थाईलैंड और चिली में कम से कम 10 बड़े संगठनों से संबंधित डेटा प्रकाशित किया है।

मैलवेयर का विश्लेषण करने वाले सुरक्षा विक्रेता इसके पेलोड को अत्यधिक कुशल, छोटा (आकार में लगभग 80Kb), अच्छी तरह से अस्पष्ट, और अधिकतर स्मृति में चलने के रूप में वर्णित करते हैं। एक Varonis . द्वारा किया गया विश्लेषण ने दिखाया कि ब्लैकमैटर के संचालक आमतौर पर दूरस्थ डेस्कटॉप और वीपीएन सहित कमजोर किनारे वाले उपकरणों से समझौता करके या अन्य स्रोतों से प्राप्त लॉगिन क्रेडेंशियल का दुरुपयोग करके प्रारंभिक पहुंच प्राप्त करते हैं।

ब्लैकमैटर को लेकर चिंता ने यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) को प्रेरित किया अक्टूबर में एडवाइजरी जारी करें संघीय एजेंसियों को खतरे के बारे में चेतावनी देना और अपने वातावरण में इसका पता लगाने के बारे में जानकारी प्रदान करना।

मायावी का विश्लेषण इस पर ध्यान केंद्रित किया गया कि ब्लैकमैटर क्षति को अधिकतम करने के लिए फ़ाइल शेयरों को कैसे एन्क्रिप्ट करता है। ब्लैकमैटर पहले सक्रिय निर्देशिका में सभी कंप्यूटर खातों की गणना करता है। इसके बाद यह प्रत्येक कंप्यूटर खाते के लिए विशेषताओं को पुनः प्राप्त करता है, फिर प्रत्येक कंप्यूटर के लिए शेयरों की गणना करता है, और अंत में प्रत्येक उपलब्ध शेयर को एन्क्रिप्ट करने का प्रयास करता है।

“तर्क दोष दूसरे चरण में होता है,” ज़ेलिग कहते हैं। यदि किसी कंप्यूटर में “dNSHostName” विशेषता का अभाव है, तो ब्लैकमैटर कंप्यूटर विशेषताओं की सूची एकत्र करने की प्रक्रिया को समाप्त करता है, वह नोट करता है।

“इसे संक्षेप में कहें तो ब्लैकमैटर सक्रिय निर्देशिका से सभी कंप्यूटरों को पुनर्प्राप्त करता है और फिर प्रत्येक कंप्यूटर की विशेषताओं को सूचीबद्ध करता है, ” ज़ेलिग कहते हैं। “लेकिन अगर ‘dNSHostName’ विशेषता के बिना कोई कंप्यूटर है, तो वह रुक जाएगा।”

इल्यूसिव ने यह भी पाया कि ब्लैकमैटर केवल एक समझौता किए गए सिस्टम पर डिफ़ॉल्ट “कंप्यूटर” कंटेनर में कंप्यूटर खातों की गणना करता है। इसलिए किसी भिन्न संगठनात्मक इकाई में संग्रहीत कंप्यूटर एन्क्रिप्शन से बच जाएंगे।

तर्क में दोष
सभी रैंसमवेयर उपकरण दूरस्थ शेयरों को एन्क्रिप्ट करने का प्रयास नहीं करते हैं। वास्तव में, अधिकांश रैंसमवेयर टूल में यह सुविधा मौजूद नहीं है, ज़ेलिग कहते हैं। ब्लैकमैटर के तर्क के साथ समस्या यह है कि यह मानता है कि प्रत्येक कंप्यूटर ऑब्जेक्ट में एक dNSHostName विशेषता होगी।

“ज्यादातर मामलों में, यह धारणा सही है – जब भी किसी कंप्यूटर को सक्रिय निर्देशिका में जोड़ा जाता है, तो यह स्वचालित रूप से अपने dNSHostName को एक विशेषता के रूप में शामिल कर लेगा,” वे कहते हैं।

लॉजिक दोष संगठनों को dnsHostName विशेषता के बिना एक कंप्यूटर खाता बनाकर ब्लैकमैटर के प्रभाव को कम करने की कोशिश करने और लगातार कम करने का अवसर देता है, और यह भी पहली बार दिखाई देगा जब मैलवेयर अपनी प्रारंभिक गणना प्रक्रिया शुरू करता है, इल्यूसिव ने कहा। एक उदाहरण के रूप में, dnsHostName विशेषता के बिना “आआ-कॉम्प” नामक एक खाता बनाकर, एक संगठन संभावित रूप से ब्लैकमैटर को उजागर दूरस्थ शेयरों को एन्क्रिप्ट करने से रोक सकता है।

“दोषपूर्ण तर्क को ट्रिगर करने के लिए, एक व्यवस्थापक को एक नाम के साथ एक कंप्यूटर ऑब्जेक्ट बनाना चाहिए जो पहले अल्फ़ान्यूमेरिक सूची में दिखाई देगा और यह सुनिश्चित करेगा कि इसकी dNSHostName विशेषता सेट नहीं है,” ज़ेलिग ने कहा।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here