చెల్లాచెదురుగా ఉన్న స్పైడర్ మరియు బ్లాక్ క్యాట్ క్రిమినల్ అండర్ వరల్డ్ నుండి కోలుకుంటారు

స్కాటర్డ్ స్పైడర్ మరియు బ్లాక్‌క్యాట్/ALPHV అనే రెండు హై-ప్రొఫైల్ క్రిమినల్ గ్యాంగ్‌లు, గత సంవత్సరం స్ప్లాష్ డిజిటల్ హీస్ట్‌ల శ్రేణి తర్వాత వారి పేర్ల వలె చీకటిలో మసకబారినట్లు కనిపించాయి, ఆ తర్వాత అరెస్టులు మరియు వెబ్‌సైట్ సీజ్‌లు జరిగాయి.

అయితే, ఇటీవలి నెలల్లో, రెండూ పునరుజ్జీవనాన్ని చూశాయి – కొత్త రిపోర్ట్ హక్స్ మరియు రీబ్రాండ్‌తో.

అక్టోబర్‌లో, భద్రతా సంస్థ రిలియాక్వెస్ట్ ఒక తయారీ కంపెనీలో డిజిటల్ చొరబాటుపై స్పందించింది. కేటాయించారు కోసం “అధిక విశ్వాసం” తో చెల్లాచెదురుగా ఉన్న స్పైడర్.

చట్టం యొక్క దరఖాస్తు ఉన్నప్పటికీ, ఇది సూచిస్తుంది ఉత్తమ ప్రయత్నాలు – సహా అరెస్టు చేయడం 22 ఏళ్ల బ్రిటిష్ వ్యక్తి జూన్‌లో ముఠా బాస్‌గా అనుమానించబడ్డాడు మరియు ఎ 19 ఏళ్లు జనవరిలో ఫ్లోరిడా మ్యాన్ – యుక్తవయస్కులు మరియు 20-సమ్థింగ్ పురుషుల యొక్క గట్టి సమూహం అదృశ్యం కాలేదు.

బాధితుడి సాంకేతిక మద్దతుపై రెండు సోషల్ ఇంజనీరింగ్ దాడులతో తయారీ రంగంలోకి చొరబాటు ప్రారంభమైంది. సోషల్ ఇంజినీరింగ్ అనేది ముఠా యొక్క ప్రాధాన్య ప్రవేశ పద్ధతి – మరియు ఇది పెద్ద సంఖ్యలో స్థానిక ఇంగ్లీష్ మాట్లాడే వారి సమూహానికి చెల్లించింది. Oktaకి వ్యతిరేకంగా SIM మార్పిడి దాడి మరియు ది లాస్ వెగాస్ క్యాసినోలలో డిజిటల్ హీస్ట్‌లు గత సంవత్సరం.

టెక్ సపోర్ట్‌కి కాల్ చేసిన ఆరు గంటల తర్వాత, చెడ్డ వ్యక్తులు సంస్థ యొక్క సిస్టమ్‌లను గుప్తీకరించడం ప్రారంభించారు, మాకు చెప్పబడింది.

కొత్త క్రిప్టోగ్రాఫర్, ఎవరు?

అయితే, ఈసారి వారు పర్యావరణాన్ని లాక్ చేయడానికి RansomHub ఎన్‌క్రిప్టర్‌ను ఉపయోగించారు. సమూహం గతంలో బ్లాక్‌క్యాట్/ALPHV బృందానికి అనుబంధంగా ఉన్నందున ఇది గుర్తించదగినది. సేకరించిన తర్వాత ఈ సమూహం కూడా చెదరగొట్టబడింది US$ 22 మిలియన్ల రెస్క్యూ యొక్క ఆరోగ్య దాడిని మార్చండి మరియు లాగడం a నిష్క్రమణ దెబ్బ.

“ఈ సంవత్సరం అరెస్టులు జరిగినప్పటికీ, ది కామ్ సభ్యులు ఇప్పటికీ సంస్థలపై చురుకుగా దాడి చేస్తున్నారని ఈ సంఘటన నిరూపిస్తుంది” అని రిలియాక్వెస్ట్‌లోని సైబర్ థ్రెట్ ఇంటెలిజెన్స్ విశ్లేషకుడు హేడెన్ ఎవాన్స్ అన్నారు. ది రికార్డ్.

స్కాటర్డ్ స్పైడర్ “ది కామ్” అనే పెద్ద సైబర్ నేర సంఘంలో భాగమని నమ్ముతారు.

“ఈ పట్టుదల సమూహం యొక్క వికేంద్రీకృత స్వభావం కారణంగా ఉండవచ్చు మరియు చట్ట అమలులో గణనీయమైన అంతరాయం ఏర్పడకపోతే ఈ దాడులు హాని కలిగించే సంస్థల ప్రయోజనాన్ని పొందడం కొనసాగుతుందని సూచిస్తుంది” అని ఎవాన్స్ కొనసాగించాడు, సంస్థలు “కఠినమైన” విధానాల సాంకేతిక మద్దతును తప్పనిసరిగా అమలు చేయాలి. మరియు స్పైడర్ స్పైడర్ దాడుల నుండి రక్షించడానికి సాంకేతిక నియంత్రణలు.

బ్లాక్‌క్యాట్‌కు బదులుగా RansomHub మాల్వేర్‌ను ఉపయోగించడంతో పాటు, రక్షకులు తెలుసుకోవలసిన ఇతర కొత్త వ్యూహాలను ముఠా అవలంబించింది.

“షేర్‌పాయింట్ ప్రారంభ యాక్సెస్ మరియు డిస్కవరీ ఈవెంట్‌ల కోసం చాలా సోషల్ ఇంజినీరింగ్‌లు సమూహంతో అనుబంధించబడ్డాయి గత,” ఎవాన్స్ పేర్కొన్నాడు. “కానీ ఇటీవలి కొన్ని సంఘటనలు రక్షణాత్మక ఎగవేత మరియు కొత్త మైక్రోసాఫ్ట్ టీమ్స్ పద్ధతిని కలిగి ఉంటాయి, ఇది మునుపెన్నడూ చూడలేదు.”

గత నెలలో ReliaQuest స్పందించిన దాడిలో స్కాటర్డ్ స్పైడర్ రెండింటినీ ఉపయోగించింది.

మొదట, ముఠా సంస్థ యొక్క ESXi వాతావరణాన్ని ఉపయోగించి ఒక వర్చువల్ మెషీన్‌ని సృష్టించి, నిలకడను కొనసాగించడానికి, పర్యావరణం అంతటా పార్శ్వంగా తరలించడానికి, ఆధారాలను డంప్ చేయడానికి మరియు డేటాను దొంగిలించారు. ఇది నేరస్థుల కార్యకలాపాలను కూడా దాచిపెట్టింది మరియు వారు బాధితుల వ్యవస్థలను నిరోధించే వరకు దాడిని దాచిపెట్టారు.

వారు మైక్రోసాఫ్ట్ టీమ్స్ సందేశం ద్వారా విమోచన క్రయధనాన్ని డిమాండ్ చేశారు.

వెతుకుతోంది: ఇంగ్లీష్ మాట్లాడే కాలర్లు

స్కాటర్డ్ స్పైడర్ – మరియు సోషల్ ఇంజనీరింగ్ వ్యూహాలను ఎక్కువగా ఉపయోగించే ఇతర సమూహాలు – లుకౌట్ వైస్ ప్రెసిడెంట్ డేవిడ్ రిచర్డ్‌సన్ ప్రకారం, ప్రత్యేకమైన “కాలర్” ఉద్యోగాల కోసం స్థానిక ఇంగ్లీష్ మాట్లాడేవారిని నియమించుకోవాలని చూస్తున్నాయి.

దాడి సమయంలో, “ఒక కాలర్ మరెక్కడో ఉన్న వారితో స్క్రీన్‌ను షేర్ చేస్తూ ఉండవచ్చు మరియు కాలర్ ఆధారాలను సేకరించేందుకు IT హెల్ప్ డెస్క్ స్క్రిప్ట్‌ని రన్ చేస్తున్నప్పుడు, క్రిమినల్ ఆపరేషన్‌లో ఎక్కువ సాంకేతిక పరిజ్ఞానం ఉన్న వ్యక్తి దొంగిలించి, ఎన్‌క్రిప్ట్ చేస్తాడు బాధితుడి డేటా” అని రిచర్డ్‌సన్ అన్నారు ది రికార్డ్.

అతని బృందం ప్రతిస్పందించిన ఒక సంఘటనలో, రిచర్డ్‌సన్ కంపెనీ ఖాతాలో అనధికారిక కార్యకలాపాల గురించి హెచ్చరించే వచన సందేశాన్ని చూసిన కొద్దిసేపటికే ఒక ఉద్యోగికి ఫోన్ కాల్ వచ్చిందని చెప్పాడు (ఇది నిజం కాదు) మరియు అతని ఖాతా లాక్ చేయబడిందని చెప్పాడు. . )

ఉద్యోగి సోషల్ ఇంజనీరింగ్ దాడికి గురికాకుండా 30 నిమిషాల ఫోన్ కాల్ తర్వాత, నేరస్థుడు “సోషల్ ఇంజినీరింగ్ పరీక్ష”లో ఉత్తీర్ణత సాధించినందుకు ఉద్యోగిని “అభినందనలు” తెలిపాడు, అనుమానాస్పద కార్యాచరణను నివేదించడం గురించి ఉద్యోగి కూడా ఆలోచించడు.

దాడి చేసేవారు చొరబడరు, వారు లాగిన్ అవుతారు

“ఈ ప్రచారాలలో చాలా వరకు సమూహ SMSలు మరియు ఫోన్ కాల్‌లతో ప్రారంభమవుతాయి” అని రిచర్డ్‌సన్ పేర్కొన్నాడు. “ఈ దాడులను ప్రారంభించడానికి, తలుపులోకి ప్రవేశించడానికి వారు ఉద్యోగుల మొబైల్ పరికరాలను వెంబడిస్తున్నారు.”

మరియు వారు ఇప్పటికీ పాత క్లాసిక్‌ని అనుసరిస్తున్నారు – వారు లాగిన్ చేస్తున్నారు, హ్యాకింగ్ చేయడం కాదు.

“రక్షకులకు కీలకమైన టేకావే అనేది కొనసాగుతున్న సెంటిమెంట్: దాడి చేసేవారు చొరబడరు, వారు లాగిన్ అవుతారు” అని ఎవాన్స్ చెప్పారు. “ముఖ్యంగా, దాడి చేసేవారు కనీసం ప్రతిఘటన మరియు అత్యధిక విజయావకాశాల మార్గాన్ని కోరుకుంటారు – ఇన్ఫర్మేషన్ స్టీలర్ లాగ్‌ల ద్వారా ఆధారాలను పొందడం లేదా ఈ సందర్భంలో వలె, ఆధారాలను రీసెట్ చేయడానికి మరియు MFAని దాటవేయడానికి సాంకేతిక మద్దతును నిర్దేశించడం వంటివి.”

లుకౌట్ వైస్ ప్రెసిడెంట్ డేవిడ్ రిచర్డ్‌సన్ దీనితో ఏకీభవించారు మరియు చాలా స్కాటర్డ్ స్పైడర్ అనుబంధ సంస్థలు చట్టబద్ధమైన మార్గాల ద్వారా లాగిన్ అవుతాయని కూడా పేర్కొన్నారు.

“ఈ రకమైన దాడులు జరుగుతున్నాయని ప్రజలు తెలుసుకోవాలి మరియు ఒక అమెరికన్ మీకు కాల్ చేసినందున లేదా మీరు టెక్స్ట్ సందేశాన్ని స్వీకరించినందున అది చట్టబద్ధమైనదని అర్థం కాదు” అని అతను చెప్పాడు. ది రికార్డ్. “మంచి ఉద్యోగిగా, మీరు దీన్ని బహుళ ఛానెల్‌ల ద్వారా నిర్ధారించాలి.”

రిచర్డ్‌సన్ అంతర్గత చాట్ సాధనం ద్వారా కమ్యూనికేషన్‌ను ప్రారంభించే వ్యక్తిని సంప్రదించి, వారు ఉనికిలో ఉన్నారని నిర్ధారించుకోవడానికి మీ కంపెనీ సంస్థాగత చార్ట్‌లో వారి కోసం వెతకాలని సూచించారు.

బ్లాక్ క్యాట్ యొక్క 9 జీవితాలు

డిసెంబర్ 2023లో, FBI నేతృత్వంలోని ఆపరేషన్ స్వాధీనం చేసుకున్నారు BlackCat/ALPHV వెబ్‌సైట్ – డార్క్ వెబ్‌లో ముఠా ఉనికిని ముగించింది – మరియు డిక్రిప్షన్ సాధనాన్ని ప్రారంభించింది.

కొన్ని నెలల తర్వాత చేంజ్ హెల్త్‌కేర్ ransomware ఇన్‌ఫెక్షన్‌తో నేరస్థులు తిరిగి చర్య తీసుకోవడాన్ని ఇది ఆపలేదు. వికలాంగులయ్యారు అమెరికన్ ఫార్మసీలు మరియు కట్టుబడి 100 మిలియన్ ప్రజలు సున్నితమైన సమాచారం – ఇది US చరిత్రలో అతిపెద్ద ఆరోగ్య సంరక్షణ డేటా ఉల్లంఘనగా మారింది.

మరియు మాతృ సంస్థ యునైటెడ్ హెల్త్ యొక్క CEO దోపిడీదారులకు చెల్లించడానికి కష్టమైన నిర్ణయం తీసుకున్న తర్వాత, బ్లాక్‌క్యాట్ అదృశ్యమైంది.

తర్వాతి నెలల్లో డార్క్ వెబ్‌లో జరిగిన సంభాషణలు కొన్ని అనుబంధ సంస్థలు RansomHubలో చేరినట్లు సూచించాయి.

ఆ తర్వాత, సెప్టెంబర్‌లో, పరిశోధకులు బ్లాక్‌క్యాట్ ransomware మరియు Cicada3301 మధ్య “అద్భుతమైన సారూప్యతలను” గమనించడం ప్రారంభించారు, ఇది జూన్‌లో కనుగొనబడినప్పటి నుండి కనీసం 39 మంది బాధితులను క్లెయిమ్ చేసింది.

బ్లాక్‌క్యాట్ వంటి రస్ట్‌లో వ్రాయబడటంతో పాటు, సికాడా మాల్వేర్ ఇతర డేటా ఎన్‌క్రిప్షన్ మరియు తొలగింపు కోడ్‌లతో అనేక ఇతర సారూప్యతలను పంచుకుంది, అవి వివరంగా ఇజ్రాయెలీ ఎండ్‌పాయింట్ సెక్యూరిటీ కంపెనీ మార్ఫిసెక్ ద్వారా.

గత నెల, గ్రూప్-ఐబి బెదిరింపు వేటగాళ్ళు తాము నిర్వహించినట్లు వెల్లడించారు చొరబడ్డాడు Cicada3301 ransomware అనుబంధ ప్యానెల్. ransomware బృందం ప్రధానంగా US మరియు UKలోని కంపెనీలపై దాడి చేస్తుంది మరియు జూన్ మరియు అక్టోబర్ మధ్య వాటిలో 24 నుండి దొంగిలించబడిన డేటాను ప్రచురించింది.

గ్రూప్-IB మాల్వేర్ అనలిస్ట్ షర్మిన్ లో ప్రకారం, గ్రూప్ యొక్క అంతర్గత పనితీరు మరియు ransomware వేరియంట్‌లలోకి వారి లోతైన డైవ్‌లో, వారు బ్లాక్‌క్యాట్ మరియు సికాడా మధ్య కనెక్షన్‌లను కూడా చూశారు.

“ఈ రెండు సాఫ్ట్‌వేర్ ప్రోగ్రామ్‌లకు ముఖ్యమైన సారూప్యతలు ఉన్నాయి” అని లో చెప్పారు ది రికార్డ్. “ముఖ్యంగా, వారు సిస్టమ్ రికవరీని నిరోధించడానికి, వర్చువల్ మిషన్‌లను మూసివేయడానికి మరియు సున్నితమైన అమలు కోసం ప్రక్రియలను చంపడానికి ఒకే విధమైన ఆదేశాలను ఉపయోగిస్తారు. అదనంగా, రెండూ Windows వేరియంట్‌లో నిర్మించిన చట్టబద్ధమైన PsExec ఎక్జిక్యూటబుల్‌ను కలిగి ఉంటాయి, అయితే వాటి నామకరణ సంప్రదాయాలు ఒకే పదంలో విభిన్నంగా ఉంటాయి. Cicada3301 ఉపయోగిస్తుంది. RECOVER-[encrypted_extension]-DATA.txt బ్లాక్‌క్యాట్ ఉపయోగిస్తుండగా RECOVER-[encrypted_extension]-FILES.txt.”

వ్రాసే సమయంలో, సికాడా తన లీక్ సైట్‌లో ఇటీవల అక్టోబర్ 24వ తేదీన కొత్త బాధితులను పోస్ట్ చేసింది.

‘మీరు మీ రక్షణను తగ్గించుకోలేరు’

“బాటమ్ లైన్ ఏమిటంటే: మీరు మీ రక్షణను తగ్గించలేరు” అని ఎక్స్‌ట్రాహాప్‌లోని సీనియర్ టెక్నికల్ మేనేజర్ జామీ మోల్స్ అన్నారు. ది రికార్డ్. “సాధారణ వాస్తవం ఏమిటంటే, ransomware గ్యాంగ్‌లు కొంతకాలంగా మాతో ఉన్నాయి మరియు మాకు ఉన్న పెద్ద సమస్య ఏమిటంటే సాంకేతికత మరియు భౌగోళికం వారి జీవితాలను సులభతరం చేశాయి మరియు వారికి భారీ మొత్తంలో రక్షణను అందించాయి.”

ప్రత్యేకించి, క్రిప్టోకరెన్సీ పెరుగుదల, దాని వికేంద్రీకరణ మరియు పంపిణీ స్వభావం కారణంగా, నేర సమూహాలు తమ మనీ ట్రయల్‌ను దాచడం చాలా సులభతరం చేస్తుంది మరియు చట్టాన్ని అమలు చేసే అధికారులకు వారిని ట్రాక్ చేయడం మరింత కష్టతరం చేస్తుంది.

ఇంకా, మోల్స్ జోడించారు, “పరిశ్రమలో పెద్ద వ్యాపారంగా ఉన్న చాలా ransomware ఆపరేటర్లు మీరు ఆధునిక యాక్సిస్ ఆఫ్ ఈవిల్ అని పిలిచే దానిలో పనిచేస్తారు – ఇది ఉత్తర కొరియా, చైనా మరియు రష్యా/ఉక్రెయిన్.”

అతను ఇలా హెచ్చరించాడు: “సంభావ్య లక్ష్యంగా ఉన్న ఎవరైనా” ఈ ransomware గ్యాంగ్‌ల పునరుజ్జీవనాన్ని కొత్త అభివృద్ధి చెందుతున్న సమూహాలతో పాటుగా గమనించాలి.

కంపెనీలు తమ IT పరిసరాలను భద్రపరిచే విషయంలో తమను తాము ప్రశ్నించుకోవాల్సిన మొదటి ప్రశ్న: “మీకు అపరిమిత బడ్జెట్ ఉంటే మిమ్మల్ని మీరు ఎలా రక్షించుకుంటారు” అని మోల్స్ సూచించారు. “అక్కడ ప్రారంభించి, ఆపై మీ అసలు బడ్జెట్ ఎక్కడ ఉందో అక్కడకు వెళ్లండి.”

మెజారిటీ ఉల్లంఘనలు ఇమెయిల్ ద్వారా వస్తాయని గమనించడం ముఖ్యం – మోల్స్ శాతాన్ని 95 మరియు 98 మధ్య ఉంచారు. “కాబట్టి మీరు ఉత్తమమైన ఇమెయిల్ ఫిల్టరింగ్‌ను కలిగి ఉండాలి” అని ఆయన అభిప్రాయపడ్డారు.

“మీ వినియోగదారులు బెదిరింపులు మరియు ప్రమాదాలను అర్థం చేసుకున్నారని నిర్ధారించుకోవడానికి మీరు వారికి ఉత్తమమైన శిక్షణను కూడా పొందాలనుకుంటున్నారు,” అని మోల్స్ పేర్కొన్నాడు, ఇతర ముఖ్యమైన భాగాలలో ఎండ్‌పాయింట్ భద్రత కూడా ఉంటుంది, సంస్థలకు ఎండ్‌పాయింట్‌లలో హానికరమైన కోడ్‌ను గుర్తించే అవకాశాన్ని ఇస్తుంది. నెట్‌వర్క్‌లో ఏదైనా అనుమానాస్పద కార్యాచరణ కోసం వెతకడానికి నెట్‌వర్క్ ట్రాఫిక్‌ను పర్యవేక్షించడంతో పాటు.

“ఈ ransomware ఆపరేటర్లు – RansomHub ద్వారా చెల్లాచెదురుగా ఉన్న స్పైడర్ లేదా ఈ కొత్త Cicada ransomware సమూహం – అంతర్లీనంగా అవకాశవాదం” అని ఎవాన్స్ పేర్కొన్నాడు. “చాలా సందర్భాలలో, ఈ సమూహాల వ్యూహాలు అతివ్యాప్తి చెందుతాయి. రక్షకులు ఈ సమూహాల నుండి ఈ TTPలు మరియు సాధారణ సాధనాలను గుర్తించడం మరియు గుర్తించడం మరియు తగ్గించడం వంటివి చేయడం చాలా ముఖ్యం.” ®