
ಪ್ರಪಂಚದಾದ್ಯಂತದ ಸಂಸ್ಥೆಗಳ ಮೇಲೆ ransomware ದಾಳಿಯ ಯಶಸ್ಸು ಹೆಚ್ಚು ಹೆಚ್ಚು ಹೊಸ ಆಕ್ರಮಣಕಾರರನ್ನು ಆಟಕ್ಕೆ ಪ್ರವೇಶಿಸಲು ಪ್ರೇರೇಪಿಸುತ್ತಿದೆ. ಈ ಹೊಸ ಆಟಗಾರರಲ್ಲಿ ಒಬ್ಬರು ProLock ransomware ಅನ್ನು ಬಳಸುವ ಗುಂಪು. ಇದು ಮಾರ್ಚ್ 2020 ರಲ್ಲಿ PwndLocker ಪ್ರೋಗ್ರಾಂನ ಉತ್ತರಾಧಿಕಾರಿಯಾಗಿ ಕಾಣಿಸಿಕೊಂಡಿತು, ಇದು 2019 ರ ಕೊನೆಯಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಪ್ರಾರಂಭಿಸಿತು. ProLock ransomware ದಾಳಿಗಳು ಪ್ರಾಥಮಿಕವಾಗಿ ಹಣಕಾಸು ಮತ್ತು ಆರೋಗ್ಯ ಸಂಸ್ಥೆಗಳು, ಸರ್ಕಾರಿ ಏಜೆನ್ಸಿಗಳು ಮತ್ತು ಚಿಲ್ಲರೆ ವಲಯವನ್ನು ಗುರಿಯಾಗಿಸುತ್ತದೆ. ಇತ್ತೀಚೆಗೆ, ProLock ಆಪರೇಟರ್ಗಳು ದೊಡ್ಡ ATM ತಯಾರಕರಲ್ಲಿ ಒಬ್ಬರಾದ Dibold Nixdorf ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಆಕ್ರಮಣ ಮಾಡಿದರು.
ಈ ಪೋಸ್ಟ್ನಲ್ಲಿ ಒಲೆಗ್ ಸ್ಕುಲ್ಕಿನ್, ಗ್ರೂಪ್-IB ಯ ಕಂಪ್ಯೂಟರ್ ಫೊರೆನ್ಸಿಕ್ಸ್ ಲ್ಯಾಬೊರೇಟರಿಯ ಪ್ರಮುಖ ತಜ್ಞ, ಪ್ರೋಲಾಕ್ ಆಪರೇಟರ್ಗಳು ಬಳಸುವ ಮೂಲ ತಂತ್ರಗಳು, ತಂತ್ರಗಳು ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳನ್ನು (ಟಿಟಿಪಿಗಳು) ಒಳಗೊಳ್ಳುತ್ತದೆ. ಲೇಖನವು MITER ATT&CK ಮ್ಯಾಟ್ರಿಕ್ಸ್ಗೆ ಹೋಲಿಸುವುದರೊಂದಿಗೆ ಮುಕ್ತಾಯಗೊಳ್ಳುತ್ತದೆ, ಇದು ಸಾರ್ವಜನಿಕ ಡೇಟಾಬೇಸ್ ವಿವಿಧ ಸೈಬರ್ ಅಪರಾಧ ಗುಂಪುಗಳು ಬಳಸುವ ಉದ್ದೇಶಿತ ದಾಳಿ ತಂತ್ರಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ.
ಆರಂಭಿಕ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲಾಗುತ್ತಿದೆ
ProLock ನಿರ್ವಾಹಕರು ಪ್ರಾಥಮಿಕ ಹೊಂದಾಣಿಕೆಯ ಎರಡು ಮುಖ್ಯ ವೆಕ್ಟರ್ಗಳನ್ನು ಬಳಸುತ್ತಾರೆ: QakBot (Qbot) ಟ್ರೋಜನ್ ಮತ್ತು ದುರ್ಬಲ ಪಾಸ್ವರ್ಡ್ಗಳೊಂದಿಗೆ ಅಸುರಕ್ಷಿತ RDP ಸರ್ವರ್ಗಳು.
ಬಾಹ್ಯವಾಗಿ ಪ್ರವೇಶಿಸಬಹುದಾದ RDP ಸರ್ವರ್ ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವುದು ರಾನ್ಸಮ್ವೇರ್ ಆಪರೇಟರ್ಗಳಲ್ಲಿ ಅತ್ಯಂತ ಜನಪ್ರಿಯವಾಗಿದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸರ್ವರ್ ದಾಳಿಕೋರರು ಅದನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಂದ ಖರೀದಿಸುತ್ತಾರೆ, ಆದರೆ ಅದನ್ನು ಗುಂಪಿನ ಸದಸ್ಯರು ಸ್ವತಃ ಪಡೆಯಬಹುದು.
ಪ್ರಾಥಮಿಕ ಹೊಂದಾಣಿಕೆಯ ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕ ವೆಕ್ಟರ್ QakBot ಮಾಲ್ವೇರ್ ಆಗಿದೆ. ಹಿಂದೆ, ಈ ಟ್ರೋಜನ್ ransomware ನ ಮತ್ತೊಂದು ಕುಟುಂಬದೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿತ್ತು - MegaCortex. ಆದಾಗ್ಯೂ, ಇದನ್ನು ಈಗ ಪ್ರೋಲಾಕ್ ಆಪರೇಟರ್ಗಳು ಬಳಸುತ್ತಾರೆ.
ವಿಶಿಷ್ಟವಾಗಿ, QakBot ಅನ್ನು ಫಿಶಿಂಗ್ ಅಭಿಯಾನಗಳ ಮೂಲಕ ವಿತರಿಸಲಾಗುತ್ತದೆ. ಫಿಶಿಂಗ್ ಇಮೇಲ್ ಲಗತ್ತಿಸಲಾದ Microsoft Office ಡಾಕ್ಯುಮೆಂಟ್ ಅಥವಾ Microsoft OneDrive ನಂತಹ ಕ್ಲೌಡ್ ಸ್ಟೋರೇಜ್ ಸೇವೆಯಲ್ಲಿರುವ ಫೈಲ್ಗೆ ಲಿಂಕ್ ಅನ್ನು ಒಳಗೊಂಡಿರಬಹುದು.
ಕ್ವಾಕ್ಬಾಟ್ ಅನ್ನು ಮತ್ತೊಂದು ಟ್ರೋಜನ್, ಎಮೋಟೆಟ್ನೊಂದಿಗೆ ಲೋಡ್ ಮಾಡಿದ ಪ್ರಕರಣಗಳು ಸಹ ತಿಳಿದಿವೆ, ಇದು Ryuk ransomware ಅನ್ನು ವಿತರಿಸುವ ಅಭಿಯಾನಗಳಲ್ಲಿ ಭಾಗವಹಿಸುವಿಕೆಗೆ ವ್ಯಾಪಕವಾಗಿ ಹೆಸರುವಾಸಿಯಾಗಿದೆ.
ಪ್ರದರ್ಶನ
ಸೋಂಕಿತ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿ ಮತ್ತು ತೆರೆದ ನಂತರ, ಮ್ಯಾಕ್ರೋಗಳನ್ನು ಚಲಾಯಿಸಲು ಅನುಮತಿಸುವಂತೆ ಬಳಕೆದಾರರಿಗೆ ಸೂಚಿಸಲಾಗುತ್ತದೆ. ಯಶಸ್ವಿಯಾದರೆ, ಪವರ್ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ, ಇದು ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್ನಿಂದ ಕ್ವಾಕ್ಬಾಟ್ ಪೇಲೋಡ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಚಲಾಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಅದೇ ProLock ಗೆ ಅನ್ವಯಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ: ಫೈಲ್ನಿಂದ ಪೇಲೋಡ್ ಅನ್ನು ಹೊರತೆಗೆಯಲಾಗುತ್ತದೆ BMP ಅಥವಾ JPG ಮತ್ತು PowerShell ಅನ್ನು ಬಳಸಿಕೊಂಡು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ. ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಪವರ್ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು ನಿಗದಿತ ಕಾರ್ಯವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.
ಟಾಸ್ಕ್ ಶೆಡ್ಯೂಲರ್ ಮೂಲಕ ಪ್ರೊಲಾಕ್ ರನ್ನಿಂಗ್ ಬ್ಯಾಚ್ ಸ್ಕ್ರಿಪ್ಟ್:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat
ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಬಲವರ್ಧನೆ
RDP ಸರ್ವರ್ ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾದರೆ, ನಂತರ ನೆಟ್ವರ್ಕ್ಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಮಾನ್ಯ ಖಾತೆಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. QakBot ಅನ್ನು ವಿವಿಧ ಲಗತ್ತು ಕಾರ್ಯವಿಧಾನಗಳಿಂದ ನಿರೂಪಿಸಲಾಗಿದೆ. ಹೆಚ್ಚಾಗಿ, ಈ ಟ್ರೋಜನ್ ರನ್ ರಿಜಿಸ್ಟ್ರಿ ಕೀಲಿಯನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಶೆಡ್ಯೂಲರ್ನಲ್ಲಿ ಕಾರ್ಯಗಳನ್ನು ರಚಿಸುತ್ತದೆ:

ರನ್ ರಿಜಿಸ್ಟ್ರಿ ಕೀಲಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಿಸ್ಟಮ್ಗೆ Qakbot ಅನ್ನು ಪಿನ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಆರಂಭಿಕ ಫೋಲ್ಡರ್ಗಳನ್ನು ಸಹ ಬಳಸಲಾಗುತ್ತದೆ: ಬೂಟ್ಲೋಡರ್ಗೆ ಸೂಚಿಸುವ ಶಾರ್ಟ್ಕಟ್ ಅನ್ನು ಅಲ್ಲಿ ಇರಿಸಲಾಗುತ್ತದೆ.
ಬೈಪಾಸ್ ರಕ್ಷಣೆ
ಕಮಾಂಡ್ ಮತ್ತು ಕಂಟ್ರೋಲ್ ಸರ್ವರ್ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಮೂಲಕ, QakBot ನಿಯತಕಾಲಿಕವಾಗಿ ತನ್ನನ್ನು ತಾನು ನವೀಕರಿಸಿಕೊಳ್ಳಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ. ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು, ಮಾಲ್ವೇರ್ ತನ್ನ ಪ್ರಸ್ತುತ ಆವೃತ್ತಿಯನ್ನು ಹೊಸದರೊಂದಿಗೆ ಬದಲಾಯಿಸಬಹುದು. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡ ಅಥವಾ ನಕಲಿ ಸಹಿಯೊಂದಿಗೆ ಸಹಿ ಮಾಡಲಾಗುತ್ತದೆ. ಪವರ್ಶೆಲ್ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ ಆರಂಭಿಕ ಪೇಲೋಡ್ ಅನ್ನು ಕಮಾಂಡ್ ಸರ್ವರ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ. ಸರ್ವರ್ ವಿಸ್ತರಣೆಯೊಂದಿಗೆ PNG ಸೇರಿಸಲಾಗಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮರಣದಂಡನೆಯ ನಂತರ ಅದನ್ನು ಕಾನೂನುಬದ್ಧ ಫೈಲ್ನೊಂದಿಗೆ ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ calc.exe.
ಅಲ್ಲದೆ, ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಮರೆಮಾಡಲು, QakBot ಪ್ರಕ್ರಿಯೆಗಳಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಚುಚ್ಚುವ ತಂತ್ರವನ್ನು ಬಳಸುತ್ತದೆ. ಎಕ್ಸ್ಪ್ಲೋರರ್. ಎಕ್ಸ್.
ಹೇಳಿದಂತೆ, ProLock ಪೇಲೋಡ್ ಅನ್ನು ಫೈಲ್ ಒಳಗೆ ಮರೆಮಾಡಲಾಗಿದೆ BMP ಅಥವಾ JPG. ಇದನ್ನು ಬೈಪಾಸ್ ರಕ್ಷಣೆಯ ವಿಧಾನವಾಗಿಯೂ ಪರಿಗಣಿಸಬಹುದು.
ರುಜುವಾತುಗಳನ್ನು ಪಡೆಯುವುದು
QakBot ಕೀಲಾಗರ್ ಕಾರ್ಯವನ್ನು ಹೊಂದಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಇದು ಹೆಚ್ಚುವರಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ರನ್ ಮಾಡಬಹುದು, ಉದಾಹರಣೆಗೆ, ಇನ್ವೊಕ್-ಮಿಮಿಕಾಟ್ಜ್, ಪ್ರಸಿದ್ಧ ಮಿಮಿಕಾಟ್ಜ್ ಉಪಯುಕ್ತತೆಯ ಪವರ್ಶೆಲ್ ಆವೃತ್ತಿ. ಇಂತಹ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ದಾಳಿಕೋರರು ರುಜುವಾತುಗಳನ್ನು ಡಂಪ್ ಮಾಡಲು ಬಳಸಬಹುದು.
ನೆಟ್ವರ್ಕ್ ಬುದ್ಧಿವಂತಿಕೆ
ವಿಶೇಷ ಖಾತೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದ ನಂತರ, ಪ್ರೋಲಾಕ್ ಆಪರೇಟರ್ಗಳು ನೆಟ್ವರ್ಕ್ ವಿಚಕ್ಷಣವನ್ನು ನಿರ್ವಹಿಸುತ್ತಾರೆ, ಇದು ಪೋರ್ಟ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಮತ್ತು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಪರಿಸರದ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. ವಿವಿಧ ಸ್ಕ್ರಿಪ್ಟ್ಗಳ ಜೊತೆಗೆ, ಆಕ್ರಮಣಕಾರರು ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ransomware ಗುಂಪುಗಳಲ್ಲಿ ಜನಪ್ರಿಯವಾಗಿರುವ ಮತ್ತೊಂದು ಸಾಧನವಾದ AdFind ಅನ್ನು ಬಳಸುತ್ತಾರೆ.
ನೆಟ್ವರ್ಕ್ ಪ್ರಚಾರ
ಸಾಂಪ್ರದಾಯಿಕವಾಗಿ, ನೆಟ್ವರ್ಕ್ ಪ್ರಚಾರದ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ವಿಧಾನವೆಂದರೆ ರಿಮೋಟ್ ಡೆಸ್ಕ್ಟಾಪ್ ಪ್ರೋಟೋಕಾಲ್. ProLock ಇದಕ್ಕೆ ಹೊರತಾಗಿರಲಿಲ್ಲ. ಆತಿಥೇಯರನ್ನು ಗುರಿಯಾಗಿಸಲು RDP ಮೂಲಕ ದೂರಸ್ಥ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಆರ್ಸೆನಲ್ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಸಹ ಹೊಂದಿದ್ದಾರೆ.
RDP ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ಪ್ರವೇಶ ಪಡೆಯಲು BAT ಸ್ಕ್ರಿಪ್ಟ್:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ರಿಮೋಟ್ ಆಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಲು, ProLock ಆಪರೇಟರ್ಗಳು ಮತ್ತೊಂದು ಜನಪ್ರಿಯ ಸಾಧನವನ್ನು ಬಳಸುತ್ತಾರೆ, Sysinternals ಸೂಟ್ನಿಂದ PsExec ಯುಟಿಲಿಟಿ.
ಉಪವ್ಯವಸ್ಥೆಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಆಜ್ಞಾ ಸಾಲಿನ ಇಂಟರ್ಫೇಸ್ ಆಗಿರುವ WMIC ಬಳಸಿಕೊಂಡು ಹೋಸ್ಟ್ಗಳಲ್ಲಿ ProLock ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗುತ್ತದೆ. Windows ನಿರ್ವಹಣಾ ಉಪಕರಣ. ಈ ಉಪಕರಣವು ರಾನ್ಸಮ್ವೇರ್ ಆಪರೇಟರ್ಗಳಲ್ಲಿ ಹೆಚ್ಚು ಜನಪ್ರಿಯವಾಗುತ್ತಿದೆ.
ಮಾಹಿತಿ ಸಂಗ್ರಹ
ಅನೇಕ ಇತರ ransomware ಆಪರೇಟರ್ಗಳಂತೆ, ProLock ಬಳಸುವ ಗುಂಪು ತಮ್ಮ ಸುಲಿಗೆ ಸ್ವೀಕರಿಸುವ ಸಾಧ್ಯತೆಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ರಾಜಿಯಾದ ನೆಟ್ವರ್ಕ್ನಿಂದ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ. ಹೊರತೆಗೆಯುವ ಮೊದಲು, ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು 7Zip ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಆರ್ಕೈವ್ ಮಾಡಲಾಗುತ್ತದೆ.
ಹೊರಹಾಕುವಿಕೆ
ಡೇಟಾವನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಲು, ProLock ಆಪರೇಟರ್ಗಳು Rclone ಅನ್ನು ಬಳಸುತ್ತಾರೆ, ಇದು OneDrive, Google Drive, Mega, ಇತ್ಯಾದಿಗಳಂತಹ ವಿವಿಧ ಕ್ಲೌಡ್ ಸ್ಟೋರೇಜ್ ಸೇವೆಗಳೊಂದಿಗೆ ಫೈಲ್ಗಳನ್ನು ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಕಮಾಂಡ್ ಲೈನ್ ಸಾಧನವಾಗಿದೆ. ಆಕ್ರಮಣಕಾರರು ಯಾವಾಗಲೂ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಕಾನೂನುಬದ್ಧ ಸಿಸ್ಟಮ್ ಫೈಲ್ಗಳಂತೆ ಕಾಣುವಂತೆ ಮರುಹೆಸರಿಸುತ್ತಾರೆ.
ತಮ್ಮ ಗೆಳೆಯರಂತಲ್ಲದೆ, ಸುಲಿಗೆ ಪಾವತಿಸಲು ನಿರಾಕರಿಸಿದ ಕಂಪನಿಗಳಿಗೆ ಸೇರಿದ ಕದ್ದ ಡೇಟಾವನ್ನು ಪ್ರಕಟಿಸಲು ProLock ಆಪರೇಟರ್ಗಳು ತಮ್ಮ ಸ್ವಂತ ವೆಬ್ಸೈಟ್ ಅನ್ನು ಹೊಂದಿಲ್ಲ.
ಅಂತಿಮ ಗುರಿಯನ್ನು ಸಾಧಿಸುವುದು
ಡೇಟಾವನ್ನು ಹೊರಹಾಕಿದ ನಂತರ, ತಂಡವು ಎಂಟರ್ಪ್ರೈಸ್ ನೆಟ್ವರ್ಕ್ನಾದ್ಯಂತ ಪ್ರೋಲಾಕ್ ಅನ್ನು ನಿಯೋಜಿಸುತ್ತದೆ. ಬೈನರಿ ಫೈಲ್ ಅನ್ನು ವಿಸ್ತರಣೆಯೊಂದಿಗೆ ಫೈಲ್ನಿಂದ ಹೊರತೆಗೆಯಲಾಗುತ್ತದೆ PNG ಸೇರಿಸಲಾಗಿದೆ ಅಥವಾ JPG ಪವರ್ಶೆಲ್ ಬಳಸಿ ಮತ್ತು ಮೆಮೊರಿಗೆ ಚುಚ್ಚಲಾಗುತ್ತದೆ:

ಮೊದಲನೆಯದಾಗಿ, ಅಂತರ್ನಿರ್ಮಿತ ಪಟ್ಟಿಯಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ProLock ಕೊನೆಗೊಳಿಸುತ್ತದೆ (ಆಸಕ್ತಿದಾಯಕವಾಗಿ, ಇದು "winwor" ನಂತಹ ಪ್ರಕ್ರಿಯೆಯ ಹೆಸರಿನ ಆರು ಅಕ್ಷರಗಳನ್ನು ಮಾತ್ರ ಬಳಸುತ್ತದೆ), ಮತ್ತು CSFalconService ನಂತಹ ಭದ್ರತೆಗೆ ಸಂಬಂಧಿಸಿದ ಸೇವೆಗಳನ್ನು ಕೊನೆಗೊಳಿಸುತ್ತದೆ ( ಕ್ರೌಡ್ಸ್ಟ್ರೈಕ್ ಫಾಲ್ಕನ್) ಆಜ್ಞೆಯನ್ನು ಬಳಸಿ ನೆಟ್ ಸ್ಟಾಪ್.
ನಂತರ, ಅನೇಕ ಇತರ ransomware ಕುಟುಂಬಗಳಂತೆ, ಆಕ್ರಮಣಕಾರರು ಬಳಸುತ್ತಾರೆ vssadmin ನೆರಳು ಪ್ರತಿಗಳನ್ನು ತೆಗೆದುಹಾಕಲು Windows ಮತ್ತು ಅವುಗಳ ಗಾತ್ರವನ್ನು ಮಿತಿಗೊಳಿಸುವುದರಿಂದ, ಹೊಸ ಪ್ರತಿಗಳು ರಚಿಸಲ್ಪಡುವುದಿಲ್ಲ:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock ವಿಸ್ತರಣೆಯನ್ನು ಸೇರಿಸುತ್ತದೆ .proLock, .pr0Lock ಅಥವಾ .proL0ck ಪ್ರತಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಫೈಲ್ಗೆ ಮತ್ತು ಫೈಲ್ ಅನ್ನು ಇರಿಸುತ್ತದೆ [ಫೈಲ್ಗಳನ್ನು ಮರುಪಡೆಯುವುದು ಹೇಗೆ].TXT ಪ್ರತಿ ಫೋಲ್ಡರ್ಗೆ. ಈ ಫೈಲ್ ಫೈಲ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುವುದು ಹೇಗೆ ಎಂಬುದರ ಕುರಿತು ಸೂಚನೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ, ಬಲಿಪಶು ಅನನ್ಯ ID ಅನ್ನು ನಮೂದಿಸಬೇಕಾದ ಮತ್ತು ಪಾವತಿ ಮಾಹಿತಿಯನ್ನು ಸ್ವೀಕರಿಸುವ ಸೈಟ್ಗೆ ಲಿಂಕ್ ಸೇರಿದಂತೆ:

ಪ್ರೋಲಾಕ್ನ ಪ್ರತಿಯೊಂದು ನಿದರ್ಶನವು ಸುಲಿಗೆ ಮೊತ್ತದ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿರುತ್ತದೆ - ಈ ಸಂದರ್ಭದಲ್ಲಿ, 35 ಬಿಟ್ಕಾಯಿನ್ಗಳು, ಇದು ಸುಮಾರು $312 ಆಗಿದೆ.
ತೀರ್ಮಾನಕ್ಕೆ
ಅನೇಕ ransomware ಆಪರೇಟರ್ಗಳು ತಮ್ಮ ಗುರಿಗಳನ್ನು ಸಾಧಿಸಲು ಇದೇ ರೀತಿಯ ವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಕೆಲವು ತಂತ್ರಗಳು ಪ್ರತಿ ಗುಂಪಿಗೆ ಪ್ರತ್ಯೇಕವಾಗಿರುತ್ತವೆ. ಪ್ರಸ್ತುತ, ತಮ್ಮ ಪ್ರಚಾರಗಳಲ್ಲಿ ransomware ಅನ್ನು ಬಳಸುವ ಸೈಬರ್ ಅಪರಾಧ ಗುಂಪುಗಳ ಸಂಖ್ಯೆ ಹೆಚ್ಚುತ್ತಿದೆ. ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ, ಒಂದೇ ಆಪರೇಟರ್ಗಳು ವಿವಿಧ ಕುಟುಂಬಗಳ ransomware ಅನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಯಲ್ಲಿ ತೊಡಗಿರಬಹುದು, ಆದ್ದರಿಂದ ನಾವು ತಂತ್ರಗಳು, ತಂತ್ರಗಳು ಮತ್ತು ಕಾರ್ಯವಿಧಾನಗಳಲ್ಲಿ ಅತಿಕ್ರಮಣವನ್ನು ಹೆಚ್ಚಾಗಿ ನೋಡುತ್ತೇವೆ.
MITER ATT&CK ಮ್ಯಾಪಿಂಗ್ನೊಂದಿಗೆ ಮ್ಯಾಪಿಂಗ್
ತಂತ್ರ
ತಂತ್ರ
ಆರಂಭಿಕ ಪ್ರವೇಶ (TA0001)
ಬಾಹ್ಯ ರಿಮೋಟ್ ಸೇವೆಗಳು (T1133), ಸ್ಪಿಯರ್ಫಿಶಿಂಗ್ ಅಟ್ಯಾಚ್ಮೆಂಟ್ (T1193), ಸ್ಪಿಯರ್ಫಿಶಿಂಗ್ ಲಿಂಕ್ (T1192)
ಮರಣದಂಡನೆ (TA0002)
ಪವರ್ಶೆಲ್ (T1086), ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (T1064), ಬಳಕೆದಾರ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆ (T1204), Windows ನಿರ್ವಹಣಾ ಉಪಕರಣ (T1047)
ನಿರಂತರತೆ (TA0003)
ರಿಜಿಸ್ಟ್ರಿ ರನ್ ಕೀಗಳು / ಸ್ಟಾರ್ಟ್ಅಪ್ ಫೋಲ್ಡರ್ (T1060), ಶೆಡ್ಯೂಲ್ಡ್ ಟಾಸ್ಕ್ (T1053), ಮಾನ್ಯ ಖಾತೆಗಳು (T1078)
ರಕ್ಷಣಾ ತಪ್ಪಿಸಿಕೊಳ್ಳುವಿಕೆ (TA0005)
ಕೋಡ್ ಸಹಿ (T1116), Deobfuscate/ಡಿಕೋಡ್ ಫೈಲ್ಗಳು ಅಥವಾ ಮಾಹಿತಿ (T1140), ಭದ್ರತಾ ಪರಿಕರಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು (T1089), ಫೈಲ್ ಅಳಿಸುವಿಕೆ (T1107), ಮಾಸ್ಕ್ವೆರೇಡಿಂಗ್ (T1036), ಪ್ರಕ್ರಿಯೆ ಇಂಜೆಕ್ಷನ್ (T1055)
ರುಜುವಾತು ಪ್ರವೇಶ (TA0006)
ರುಜುವಾತು ಡಂಪಿಂಗ್ (T1003), ಬ್ರೂಟ್ ಫೋರ್ಸ್ (T1110), ಇನ್ಪುಟ್ ಕ್ಯಾಪ್ಚರ್ (T1056)
ಡಿಸ್ಕವರಿ (TA0007)
ಖಾತೆ ಡಿಸ್ಕವರಿ (T1087), ಡೊಮೇನ್ ಟ್ರಸ್ಟ್ ಡಿಸ್ಕವರಿ (T1482), ಫೈಲ್ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಡಿಸ್ಕವರಿ (T1083), ನೆಟ್ವರ್ಕ್ ಸೇವಾ ಸ್ಕ್ಯಾನಿಂಗ್ (T1046), ನೆಟ್ವರ್ಕ್ ಹಂಚಿಕೆ ಡಿಸ್ಕವರಿ (T1135), ರಿಮೋಟ್ ಸಿಸ್ಟಮ್ ಡಿಸ್ಕವರಿ (T1018)
ಲ್ಯಾಟರಲ್ ಮೂವ್ಮೆಂಟ್ (TA0008)
ರಿಮೋಟ್ ಡೆಸ್ಕ್ಟಾಪ್ ಪ್ರೊಟೊಕಾಲ್ (T1076), ರಿಮೋಟ್ ಫೈಲ್ ಕಾಪಿ (T1105), Windows ನಿರ್ವಾಹಕ ಷೇರುಗಳು (T1077)
ಸಂಗ್ರಹಣೆ (TA0009)
ಸ್ಥಳೀಯ ಸಿಸ್ಟಮ್ನಿಂದ ಡೇಟಾ (T1005), ನೆಟ್ವರ್ಕ್ ಶೇರ್ಡ್ ಡ್ರೈವ್ನಿಂದ ಡೇಟಾ (T1039), ಡೇಟಾ ಸ್ಟೇಜ್ಡ್ (T1074)
ಆದೇಶ ಮತ್ತು ನಿಯಂತ್ರಣ (TA0011)
ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸುವ ಪೋರ್ಟ್ (T1043), ವೆಬ್ ಸೇವೆ (T1102)
ಹೊರತೆಗೆಯುವಿಕೆ (TA0010)
ಡೇಟಾ ಸಂಕುಚಿತ (T1002), ಡೇಟಾವನ್ನು ಕ್ಲೌಡ್ ಖಾತೆಗೆ ವರ್ಗಾಯಿಸಿ (T1537)
ಪರಿಣಾಮ (TA0040)
ಇಂಪ್ಯಾಕ್ಟ್ಗಾಗಿ ಡೇಟಾ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ (T1486), ಸಿಸ್ಟಮ್ ರಿಕವರಿ ತಡೆಯುತ್ತದೆ (T1490)
ಮೂಲ: www.habr.com
