Skip to content

Bad Rabbit Ransomware Outbreak: Things You Need to Know

जब साल के तीसरे बड़े रैंसमवेयर के फैलने की खबर आई, तो बहुत भ्रम हुआ। अब धूल जम गई है, हम यह पता लगा सकते हैं कि वास्तव में “खराब खरगोश” क्या है।

मीडिया रिपोर्ट्स के मुताबिक, इस साइबर हमले के साथ कई कंप्यूटरों को एन्क्रिप्ट किया गया है। सार्वजनिक स्रोतों ने पुष्टि की है कि ओडेसा हवाई अड्डे के साथ-साथ रूस के अन्य कई संगठनों के साथ कीव मेट्रो के कंप्यूटर सिस्टम प्रभावित हुए हैं। इस साइबर हमले के लिए इस्तेमाल किया गया मैलवेयर “डिस्क कोडर.डी” था – रैंसमवेयर का एक नया संस्करण जो “पेट्या” के नाम से लोकप्रिय था। डिस्क कोडर द्वारा पिछले साइबर हमले ने जून 2017 में वैश्विक स्तर पर नुकसान पहुंचाया।

ईएसईटी के टेलीमेट्री सिस्टम ने डिस्क कोडर की कई घटनाओं की सूचना दी है। रूस और यूक्रेन के भीतर, हालांकि, तुर्की, बुल्गारिया और कुछ अन्य देशों के कंप्यूटरों पर इस साइबर हमले का पता चला है।

इस मैलवेयर का व्यापक विश्लेषण वर्तमान में ESET के सुरक्षा शोधकर्ताओं द्वारा किया जा रहा है। उनके प्रारंभिक निष्कर्षों के अनुसार, डिस्क कोडर। D प्रभावित सिस्टम से क्रेडेंशियल निकालने के लिए Mimikatz टूल का उपयोग करता है। उनके निष्कर्ष और विश्लेषण जारी हैं, और जैसे ही और विवरण सामने आएंगे हम आपको सूचित करेंगे।

ईएसईटी टेलीमेट्री सिस्टम यह भी सूचित करता है कि यूक्रेन में बैड रैबिट घुसपैठ देखने की कुल संख्या से केवल 12.2% है। शेष आँकड़े निम्नलिखित हैं:

रूस: 65%

यूक्रेन: 12.2%

बुल्गारिया: 10.2%

तुर्की: 6.4%

जापान: 3.8%

अन्य: 2.4%

देशों के वितरण में तदनुसार खराब खरगोश द्वारा समझौता किया गया था। दिलचस्प बात यह है कि ये सभी देश एक ही समय में हिट हुए थे। यह काफी संभावना है कि प्रभावित संगठनों के नेटवर्क के अंदर समूह का पैर पहले से ही था।

यह निश्चित रूप से रैंसमवेयर है

जो दुर्भाग्य से हमले के शिकार हो गए, उन्हें जल्दी से एहसास हुआ कि क्या हुआ था क्योंकि रैंसमवेयर सूक्ष्म नहीं है – यह पीड़ितों को फिरौती के नोट के साथ प्रस्तुत करता है कि उनकी फाइलें “अब सुलभ नहीं हैं” और “कोई भी उन्हें पुनर्प्राप्त करने में सक्षम नहीं होगा” हमारी डिक्रिप्शन सेवा”। पीड़ितों को एक टोर भुगतान पृष्ठ पर निर्देशित किया जाता है और उन्हें उलटी गिनती टाइमर के साथ प्रस्तुत किया जाता है। पहले ४० घंटों के भीतर भुगतान करें, उन्हें बताया गया है, और फाइलों को डिक्रिप्ट करने के लिए भुगतान ०.०५ बिटकॉइन है – लगभग २८५ डॉलर। जो लोग टाइमर के शून्य तक पहुंचने से पहले फिरौती का भुगतान नहीं करते हैं, उन्हें बताया जाता है कि शुल्क बढ़ जाएगा और उन्हें अधिक भुगतान करना होगा। एन्क्रिप्शन डिस्कक्रिप्टर का उपयोग करता है, जो खुला स्रोत वैध है और पूर्ण ड्राइव एन्क्रिप्शन के लिए उपयोग किया जाने वाला सॉफ़्टवेयर है। CryptGenRandom का उपयोग करके कुंजियाँ उत्पन्न की जाती हैं और फिर हार्डकोडेड RSA 2048 सार्वजनिक कुंजी द्वारा संरक्षित की जाती हैं।

यह पेट्या/नॉट पेट्या पर आधारित है

अगर फिरौती का नोट जाना पहचाना लगता है, तो ऐसा इसलिए है क्योंकि यह लगभग जून के पेट्या प्रकोप के शिकार लोगों के समान है। समानताएं सिर्फ कॉस्मेटिक नहीं हैं – बैड रैबिट पेट्या के साथ भी पर्दे के पीछे के तत्वों को साझा करता है।

क्राउडस्ट्राइक के शोधकर्ताओं द्वारा किए गए विश्लेषण में पाया गया है कि बैड रैबिट और नोटपेट्या की डीएलएल (डायनेमिक लिंक लाइब्रेरी) एक ही कोड का 67 प्रतिशत साझा करते हैं, यह दर्शाता है कि दो रैंसमवेयर वेरिएंट निकट से संबंधित हैं, संभावित रूप से एक ही खतरे वाले अभिनेता का काम भी।

हमले ने रूस और पूर्वी यूरोप में हाई प्रोफाइल संगठनों को प्रभावित किया है

शोधकर्ताओं ने रूस, यूक्रेन, जर्मनी, तुर्की, पोलैंड और दक्षिण कोरिया सहित – प्रकोप के शिकार देशों की एक लंबी सूची पाई है। रूस में तीन मीडिया संगठनों के साथ-साथ रूसी समाचार एजेंसी इंटरफैक्स ने सभी फ़ाइल-एन्क्रिप्टिंग मैलवेयर या “हैकर हमलों” की घोषणा की है – अभियान द्वारा ऑफ़लाइन लाया जा रहा है। प्रभावित क्षेत्रों के अन्य हाई-प्रोफाइल संगठनों में ओडेसा अंतर्राष्ट्रीय हवाई अड्डा और कीव मेट्रो शामिल हैं। इसने यूक्रेन के कंप्यूटर इमरजेंसी रिस्पांस को यह पोस्ट करने के लिए प्रेरित किया है कि “यूक्रेन के सूचना संसाधनों पर साइबर हमलों की एक नई लहर की संभावित शुरुआत” हुई थी।

हो सकता है कि उसके पास चुनिंदा लक्ष्य हों

जब WannaCry टूटा, तो दुनिया भर के सिस्टम एक स्पष्ट अंधाधुंध हमले से प्रभावित हुए। दूसरी ओर, बैड रैबिट ने कॉर्पोरेट नेटवर्क को लक्षित किया हो सकता है।

ईएसईटी के शोधकर्ताओं ने इस विचार का समर्थन किया है, यह दावा करते हुए कि संक्रमित वेबसाइटों में इंजेक्ट की गई स्क्रिप्ट यह निर्धारित कर सकती है कि आगंतुक रुचि का है या नहीं और फिर सामग्री पृष्ठ जोड़ें – यदि लक्ष्य को संक्रमण के लिए उपयुक्त माना जाता है।

यह छेड़छाड़ की गई वेबसाइटों पर एक नकली फ्लैश अपडेट के माध्यम से फैलता है

बैड रैबिट फैलने का मुख्य तरीका हैक की गई वेबसाइटों पर ड्राइव-बाय डाउनलोड है। किसी भी कारनामे का उपयोग नहीं किया जाता है, बल्कि विज़िटर से छेड़छाड़ की गई वेबसाइटों – जिनमें से कुछ के साथ जून से समझौता किया गया है – को बताया जाता है कि उन्हें एक फ्लैश अपडेट स्थापित करने की आवश्यकता है। बेशक, यह कोई फ्लैश अपडेट नहीं है, बल्कि दुर्भावनापूर्ण इंस्टॉल के लिए एक ड्रॉपर है। संक्रमित वेबसाइटें – ज्यादातर रूस, बुल्गारिया और तुर्की में स्थित हैं – उनके HTML बॉडी में या उनकी किसी एक फ़ाइल में जावास्क्रिप्ट को इंजेक्ट करके समझौता किया जाता है।

यह बाद में पूरे नेटवर्क में फैल सकता है

पेट्या की तरह, बैड रैबिट रैनसमवेयर हमले में एक एसएमबी घटक होता है जो इसे बाद में एक संक्रमित नेटवर्क में स्थानांतरित करने और उपयोगकर्ता के संपर्क के बिना प्रचारित करने की अनुमति देता है।

बैड रैबिट का प्रसार सरल उपयोगकर्ता नाम और पासवर्ड संयोजनों द्वारा आसान बना दिया गया है, जिसका फायदा उठाकर वह पूरे नेटवर्क में अपना रास्ता बना सकता है। कमजोर पासवर्ड की यह सूची अक्सर देखे जाने वाले आसान-से-अनुमानित पासवर्ड हैं – जैसे 12345 संयोजन या “पासवर्ड” के रूप में सेट पासवर्ड होना।

यह EternalBlue का उपयोग नहीं करता है

जब बैड रैबिट पहली बार दिखाई दिया, तो कुछ ने सुझाव दिया कि WannaCry की तरह, इसने फैलाने के लिए EternalBlue शोषण का फायदा उठाया। हालांकि, अब ऐसा होता नहीं दिख रहा है। टैलोस में सुरक्षा अनुसंधान के तकनीकी प्रमुख मार्टिन ली ने जेडडीनेट को बताया, “वर्तमान में हमारे पास इस बात का कोई सबूत नहीं है कि संक्रमण फैलाने के लिए इटरनलब्लू शोषण का उपयोग किया जा रहा है।”

इसमें गेम ऑफ थ्रोन्स के संदर्भ शामिल हैं

बैड रैबिट के पीछे जो कोई भी है, वे गेम ऑफ थ्रोन्स के प्रशंसक प्रतीत होते हैं: कोड में विसेरियन, ड्रोगन और रैगल के संदर्भ शामिल हैं, जो ड्रेगन टेलीविजन श्रृंखला में दिखाई देते हैं और जिन उपन्यासों पर यह आधारित है। इसलिए कोड के लेखक हैकर्स की गीक्स और नर्ड होने की रूढ़िवादी छवि को बदलने के लिए बहुत कुछ नहीं कर रहे हैं।

सुरक्षित रखने के लिए आप कुछ कदम उठा सकते हैं

इस समय, कोई नहीं जानता कि क्या बैड रैबिट द्वारा लॉक की गई फ़ाइलों को डिक्रिप्ट करना अभी तक संभव है। कुछ फिरौती देने का सुझाव दे सकते हैं और देख सकते हैं कि क्या होता है … बुरा विचार।

यह सोचना काफी उचित है कि अत्यधिक महत्वपूर्ण और अमूल्य फाइलों के लिए लगभग $300 का भुगतान करना उचित है, लेकिन फिरौती का भुगतान लगभग कभी भी पहुंच प्राप्त करने में परिणाम नहीं देता है, न ही यह रैंसमवेयर के खिलाफ लड़ाई में मदद करता है – एक हमलावर तब तक लक्ष्य बनाए रखेगा जब तक वे रिटर्न देख रहे हैं।

कई सुरक्षा विक्रेताओं का कहना है कि उनके उत्पाद बैड रैबिट से रक्षा करते हैं। लेकिन उन लोगों के लिए जो यह सुनिश्चित करना चाहते हैं कि वे संभावित रूप से हमले के शिकार न हों, कास्परस्की लैब का कहना है कि उपयोगकर्ता फ़ाइल ‘c: windows infpub.dat, C: Windows cscc.dat’ के निष्पादन को रोक सकते हैं। ताकि संक्रमण को रोका जा सके।

Leave a Reply

Your email address will not be published.