वाइल्ड साइड पर “नेटवॉक” लें

कार्यकारी सारांश

नेटवॉकर रैंसमवेयर, जिसे शुरुआत में मेल्टो के रूप में जाना जाता था, पहली बार अगस्त 2019 में पता चला था। तब से, नए वेरिएंट की खोज 2019 में की गई और 2020 की शुरुआत में, इस साल के मार्च में मजबूत उठान देखा गया।

नेटवल्कर ने एक अधिक स्थिर और मजबूत रैंसमवेयर-ए-सर्विस (राएएस) मॉडल के रूप में स्पष्ट रूप से विकसित किया है, और हमारे शोध बताते हैं कि मैलवेयर ऑपरेटर तकनीकी रूप से उन्नत और उद्यमी आपराधिक सहयोगियों की व्यापक रेंज को लक्षित और आकर्षित कर रहे हैं।

McAfee Advanced Threat Research (ATR) ने NetWalker से जुड़े बिटकॉइन की एक बड़ी राशि की खोज की जो सुझाव देता है कि इसके जबरन वसूली के प्रयास प्रभावी हैं और कई पीड़ितों के पास इसकी आपराधिक मांगों के आगे झुकने के अलावा कोई विकल्प नहीं है।

हमने इसके पीछे के खतरे के बारे में कुछ संभावित विचारों के साथ नेटवल्कर की अपनी जांच के लिए संपर्क किया, केवल बाद में अपनी स्वयं की परिकल्पना को अस्वीकार कर दिया। हम अपनी सोच को शामिल करने पर विश्वास करते हैं, और जिन साधनों के साथ हमने अपने स्वयं के सिद्धांत को खारिज कर दिया है, गहन शोध के महत्व को उजागर करते हैं और हम इस विषय पर आगे की चर्चा का स्वागत करते हैं। हमारा मानना ​​है कि यह बहुमूल्य चर्चा शुरू करता है और दूसरों के शोध प्रयासों की नकल से बचने में मदद करता है। यदि आपके पास अधिक साक्ष्य हैं तो हम अपने साथियों को उद्योग में जानकारी साझा करने के लिए प्रोत्साहित करते हैं।

McAfee अपने ग्राहकों को व्यक्तिगत एंटीवायरस, एंडपॉइंट और गेटवे सहित अपने सभी उत्पादों में इस ब्लॉग में कवर किए गए मैलवेयर से बचाता है। इस प्रकार के हमलों से बचाव के लिए मैकएफी उत्पाद किस तरह से बचाव कर सकते हैं, इसके बारे में अधिक जानने के लिए, नेटवल्कर के खिलाफ बिल्डिंग एडैप्टेबल सिक्योरिटी आर्किटेक्चर पर हमारे ब्लॉग पर जाएँ।

नेटवेकर की नवीनतम घटनाओं और अन्य साइबर खतरों पर खुफिया जानकारी के शीर्ष पर रहने के लिए McAfee अंतर्दृष्टि देखें, सभी McAfee एटीआर टीम द्वारा क्यूरेट किए गए। इतना ही नहीं, इनसाइट्स आपको खतरों को प्राथमिकता देने में भी मदद करेगा, भविष्यवाणी करेगा कि क्या आपके काउंटरमेसर सुधारात्मक कार्यों को काम करेंगे और निर्धारित करेंगे।

परिचय

2019 के बाद से, नेटवल्कर रैंसमवेयर विभिन्न लक्ष्यों की एक बड़ी संख्या तक पहुंच गया है, जो ज्यादातर पश्चिमी यूरोपीय देशों और अमेरिका में स्थित हैं। 2019 के अंत के बाद से, नेटवल्कर गिरोह ने व्यक्तियों के बजाय बड़े संगठनों के लिए वरीयता का संकेत दिया है। COVID-19 महामारी के दौरान, NetWalker के पीछे के सहयोगियों ने स्पष्ट रूप से कहा कि अस्पतालों को लक्षित नहीं किया जाएगा; चाहे वे अपने वचन पर कायम रहें या नहीं।

रैंसमवेयर संक्रमित फ़ाइलों के लिए एक यादृच्छिक विस्तार देता है और साल्सा 20 एन्क्रिप्शन का उपयोग करता है। यह पता लगाने से बचने के लिए कुछ तरकीबों का उपयोग करता है, जैसे कि एक नई रक्षा चोरी तकनीक, जिसे चिंतनशील डीएलएल लोडिंग के रूप में जाना जाता है, मेमोरी से डीएलएल को इंजेक्ट करने के लिए।

नेटवॉकर सामूहिक, जो भूलभुलैया, रेविल और अन्य रैनसमवेयर के पीछे है, जैसे कि फिरौती न देने पर पीड़ितों के डेटा को प्रकाशित करने की धमकी देता है।

जैसा कि पहले उल्लेख किया गया है, नेटवल्कर रास मात्रा से अधिक गुणवत्ता को प्राथमिकता देता है और ऐसे लोगों की तलाश में है जो रूसी भाषी हैं और बड़े नेटवर्क का अनुभव रखते हैं। वे लोग जिनके पास पहले से ही संभावित पीड़ित के नेटवर्क में एक पैर जमाने की क्षमता है और आसानी से डेटा को एक्सफ़िलिएट कर सकते हैं, विशेष रूप से बाद में मांगे जाते हैं। यह आश्चर्यजनक नहीं है, यह देखते हुए कि पीड़ितों का डेटा प्रकाशित करना नेटवल्कर के मॉडल का हिस्सा है।

रैनसमवेयर के व्यवहार के तकनीकी मैलवेयर विश्लेषण पर जाने से पहले निम्नलिखित अनुभाग नेटवल्कर मैलवेयर शुरू करने और टेलीमेट्री स्थिति प्रदर्शित करने के लिए समर्पित हैं। हम बताएंगे कि डिक्रिप्टर कैसे काम करता है और नेटवल्कर के ऑपरेटरों और उनके पीड़ितों के बीच कुछ बातचीत दिखाता है। इसके बाद, हम सितंबर 2019 से मॉडस ऑपरेंडी में बदलाव पर चर्चा करते हैं, विशेष रूप से भुगतान व्यवहार के बारे में। फिर हम अपने प्रयासों को दिखाते हैं, जैसा कि वे थे, नेटवल्कर और पिछले के बीच एक लिंक की खोज में, असंबद्ध रैंसमवेयर वेरिएंट। अंत में, हम NetWalker और इसके MITER ATT & CK तकनीकों से संबंधित IOCs का अवलोकन देते हैं।

टेलीमेटरी

McAfee के बिलियन इनसाइट सेंसर का उपयोग करके, हम NetWalker रैंसमवेयर के वैश्विक प्रसार को दिखा सकते हैं।

चित्र 1. McAfee MVISION इनसाइट्स नेटवल्कर रैंसमवेयर की वैश्विक व्यापकता को दर्शाता है

तकनीकी विश्लेषण

फिरौती नोट (मार्च 2020 से पहले)

मार्च 2020 से पहले, नेटवॉकर फिरौती नोट ने संकेत दिया कि कैसे बेतरतीब नामों (जैसे [email protected] और [email protected]) के साथ बेनामी ईमेल खाता सेवाओं का उपयोग करके सीधे संपर्क करना है:

चित्र 2. मार्च 2020 से पहले फिरौती के नोट का उदाहरण

फिरौती नोट (पोस्ट-मार्च 2020)

12 मार्च 2020 को, एक शोधकर्ता ने एक ट्वीट में एक नए नेटवल्कर फिरौती नोट का स्क्रीनशॉट साझा किया और हम देख सकते हैं कि हमलावरों ने संपर्क विधि को काफी बदल दिया है। ईमेल संचार को अब पूरी तरह से पीड़ितों के साथ गिरा दिया गया है जो अब नेटवाल्कर टोर इंटरफेस के माध्यम से संपर्क करने की आवश्यकता है, जहां अपनी उपयोगकर्ता कुंजी जमा करने के बाद, उन्हें फिर नेटवल्कर तकनीकी सहायता के साथ चैट पर भेज दिया जाएगा। संपर्क विधि में यह बदलाव भूमिगत फ़ोरम पोस्टिंग के साथ मेल खाता है, जहां नेटवल्कर ने खुलासा किया था कि यह अपने सहयोगी नए सहयोगियों के लिए खोल रहा है। टो पेज केवल ध्यान देने योग्य परिवर्तन नहीं था जिसे हम इस ब्लॉग में उजागर करेंगे।

चित्र 3. मार्च 2020 के बाद फिरौती के नोट का उदाहरण

नेटवल्कर विश्लेषण

चित्रा 4. नेटवल्कर व्यवहार

नेटवल्कर संसाधन विश्लेषण (प्री-मार्च 2020)

नेटवल्कर मैलवेयर कस्टम संसाधन प्रकार (1337 या 31337) का उपयोग करता है जिसमें इसका संपूर्ण विन्यास होता है। इस फ़ाइल को मेमोरी में निकाला जाता है और संसाधन में हार्ड-कोडित कुंजी के साथ RC4 एल्गोरिथ्म का उपयोग करके डिक्रिप्ट किया जाता है।

12 मार्च 2020 से पहले, नेटवल्कर ने अपने समर्थन ऑपरेशन और पीड़ितों के बीच ईमेल संपर्क प्रक्रिया का उपयोग किया और भुगतान के साथ आगे बढ़ने और डिक्रिप्शन प्रोग्राम भेजने के लिए। ऐसा करने के लिए, NetWalker ने अपने एन्क्रिप्शन मोड, फिरौती के नोट का नाम, आदि, और ईमेल संपर्क सेट करने के लिए संसाधन में अपनी कॉन्फ़िगरेशन फ़ाइल का उपयोग किया।

नाम wwllww.exe
आकार 96256 बाइट्स
फाइल का प्रकार प्रोग्राम फ़ाइल
SHA 256 58e923ff158fb5aecd293b7a0e0d305296110b83c6e270786edcc4fea1c8404c
संकलन का समय 6 दिसंबर 2019

चित्रा 5. wwllww.exe से नेटवल्कर संसाधन

एक बार डिक्रिप्ट हो जाने के बाद, कॉन्फ़िगरेशन फ़ाइल कई मापदंडों को प्रकट करती है, जिससे हमें यह समझने की अनुमति मिलती है कि यह कैसे काम करता है (यह फिरौती नोट कैसे बनता है, एन्क्रिप्शन के लिए आवंटित थ्रेड्स की संख्या, आदि):

MPK सार्वजनिक कुंजी
मोड एन्क्रिप्शन प्रणाली
thr एन्क्रिप्शन प्रक्रिया के लिए आवंटित धागे
spsz एन्क्रिप्शन चंक
namesz नाम की लंबाई
idsz आईडी की लंबाई
crmask .mailto[email]। {आईडी}
मेल मेल से संपर्क करें
lfile फिरौती नोट नाम
देना B64 ने फिरौती नोट को एनकोड किया
सफेद एन्क्रिप्शन श्वेतसूची
मार प्रक्रियाएं, कार्य, सेवा नाम समाप्त करने के लिए
unlocker डिक्रिप्शन बहिष्करण सूची

नेटवल्कर संसाधन विश्लेषण (मार्च 2010 के बाद)

जब नेटवॉकर ने अपने संपर्क मोड को बदल दिया और ईमेल से स्विच करके उपयोगकर्ता कुंजी को सीधे समूह के ब्लॉग के वेब पोर्टल पर सबमिट किया, तो संसाधन में कॉन्फ़िगरेशन फ़ाइल भी बदल गई। हमने कॉन्फ़िगरेशन फ़ाइल में परिवर्तन पाया, जैसे कि संपर्क “मेल” और “crmask” फ़ील्ड का गायब होना (पहले XXX @ cock.li, XXX @ tuta.io, आदि के रूप में सेट), और .mailto[email]। {आईडी})। इस फ़ील्ड को “onion1” और “onion2” द्वारा बदल दिया गया था, और ये फ़ील्ड NetWalker ब्लॉग URL / भुगतान पृष्ठ (hxxp: // rnfdsgm) के साथ सेट किए गए हैंdrqqd.onion/)। हमने यह भी देखा कि नेटवल्कर डेवलपर्स ने अपने “अनलॉकर” फ़ील्ड को कुछ विशिष्ट मानों के साथ पूरक किया (उदाहरण के लिए “psexec.exe, system, forti * .exe, fmon.exe *, आदि”)।

नाम cnt.ex
आकार 70656 बाइट्स
फाइल का प्रकार प्रोग्राम फ़ाइल
SHA 256 26dfa8512e892dc8397c4ccbbe10efbcf85029bc2ad7b6b6fe17d26f946a01bb
संकलन का समय 2 मई 2020

चित्रा 6. cnt.ex से नेटवॉकर संसाधन

आमतौर पर, हमलावर RC_DATA या दुर्भावनापूर्ण BITMAP का उपयोग करते हैं। उत्तरार्द्ध, उदाहरण के लिए, एक नियमित बिटमैप (विंडोज द्वारा उपयोग किया जाने वाला खुला मैट्रिक्स छवि प्रारूप) हो सकता है, जिसका उपयोग मालवेयर द्वारा कोड निष्पादित करने के लिए या पेलोड ड्रॉपर के रूप में किया जा सकता है। छवि के पिक्सेल पेलोड के वास्तविक द्विआधारी प्रतिनिधित्व हैं। इस प्रक्रिया को Exe -> संसाधन -> BMP के रूप में संक्षेपित किया जा सकता है, जिसमें पिक्सेल में एम्बेडेड डेटा के साथ BMP द्वारा और डिक्रिप्टेड है। एक DLL -> पेलोड), आदि। हालांकि, इस मामले में, वे इस विशेष कस्टम प्रकार का उपयोग करते हैं ताकि आपत्ति बढ़ा सकें। नेटवॉकर डेवलपर्स ने 1337 या 31337 स्ट्रक्चर्स का उपयोग करके कस्टम प्रकारों को चुना, इसलिए संसाधन प्रारूप नहीं बदलता है। हालाँकि, जैसा कि हमने कहा, कई मान बदले गए हैं या बदल दिए गए हैं:

MPK सार्वजनिक कुंजी
मोड एन्क्रिप्शन प्रणाली
spsz एन्क्रिप्शन चंक
thr एन्क्रिप्शन प्रक्रिया के लिए आवंटित धागे
namesz नाम की लंबाई
idsz आईडी की लंबाई
lfile फिरौती नोट नाम
onion1 ब्लॉग URL 1
प्याज २ ब्लॉग URL २
सफेद एन्क्रिप्शन श्वेतसूची
मार प्रक्रियाएं, कार्य, सेवा नाम समाप्त करने के लिए
जाल नेटवर्क संसाधन एन्क्रिप्शन
unlocker डिक्रिप्शन बहिष्करण सूची
देना B64 ने फिरौती नोट को एनकोड किया

नेटवल्कर निष्पादन विश्लेषण (मार्च 2020 के बाद)

इस ब्लॉग पोस्ट के लिए उपयोग किए गए मैलवेयर नमूने में समान जानकारी है:

नाम c21ecd18f0bbb28112240013ad42dad5c01d20927791239ada5b

61e1c6f5f010

आकार 70656 बाइट्स
फाइल का प्रकार प्रोग्राम फ़ाइल
SHA 256 c21ecd18f0bbb28112240013ad42dad5c01d20927791239ada5b

61e1c6f5f010

संकलन का समय 2 मई 2020

अनपैक्ड मालवेयर 32 बिट्स की एक बाइनरी फाइल है जिसे EXE फाइल के रूप में पाया जा सकता है।

चित्र 7. मालवेयर की जानकारी का नमूना

मैलवेयर की पहली क्रिया सभी आवश्यक कार्यों को एक बड़े फ़ंक्शन में संयोजित करना है, नीचे वर्णित अतिरिक्त DLL के साथ विंडोज में पहले से लोड किए गए मॉड्यूल के संयोजन।

सामान्य तरीके से फ़ंक्शन की खोज करने के बजाय, मैलवेयर प्रत्येक फ़ंक्शन के नाम का CRC32 हैश बनाता है और हार्डककोड मानों के साथ तुलना करता है। इसके अतिरिक्त, फ़ंक्शन “GetProcAddress” का उपयोग करने के बजाय, मैलवेयर विश्लेषण को कठिन बनाने के लिए प्रक्रिया पर्यावरण ब्लॉक (PEB) का उपयोग करता है।

चित्रा 8. पीईबी तक पहुँचने वाले मॉड्यूल और सीआरसी 32 का उपयोग कर प्राप्त करें

यदि मॉड्यूल की खोज नहीं की जा सकती है, तो यह सामान्य कार्यों में हुक से बचने की कोशिश करने के लिए विंडोज के एक मूल कार्य “LdrLoadDll” के साथ लोड होगा, उदा। “LoadLibraryW”:

चित्रा 9. लोड पुस्तकालय LdrLoadDll का उपयोग कर

चित्र 10. मॉड्यूल से फ़ंक्शन प्राप्त करें, उदा। एक CRC32 हैश का उपयोग कर

यदि मैलवेयर एक फ़ंक्शन प्राप्त करने में विफल रहता है, तो यह “स्लीप” कॉल पर जाएगा और खुद को समाप्त कर देगा।

बाद में, मैलवेयर एक कस्टम प्रकार और फ़ंक्शन “FindResourceA”, “LockResource”, “LoadResource” और “SizeOfResource” का उपयोग करके कस्टम नाम से कॉन्फ़िगरेशन फ़ाइल को निकालता है। स्मृति में निकाली गई फ़ाइल को संसाधन में हार्डकोड किए गए कुंजी के साथ RC4 एल्गोरिथ्म का उपयोग करके डिक्रिप्ट किया गया है।

संसाधन की संरचना है:

  • 4 बाइट्स -> कॉन्फ़िगरेशन फ़ाइल को डिक्रिप्ट करने के लिए हार्डकोड की का आकार।
  • परिवर्तनीय आकार -> कॉन्फ़िगरेशन फ़ाइल को डिक्रिप्ट करने के लिए हार्डकोड की।
  • चर आकार -> कॉन्फ़िगरेशन फ़ाइल एन्क्रिप्ट की गई।

मैलवेयर पहले 4 बाइट्स को पढ़ता है और पासवर्ड के आकार के साथ मेमोरी को सुरक्षित रखता है और रिसोर्स माइनस 4 बाइट्स और पासवर्ड के आकार की मेमोरी को सुरक्षित रखता है। अंत में, यह विन्यास फाइल को डिक्रिप्ट करता है:

चित्र 11. कॉन्फ़िगरेशन फ़ाइल प्राप्त करें और इसे डिक्रिप्ट करें

यदि मैलवेयर कॉन्फ़िगरेशन फ़ाइल प्राप्त करने में विफल रहता है, तो यह स्वयं को समाप्त कर देगा।

कॉन्फ़िगरेशन फ़ाइल प्राप्त करने के बाद, मालवेयर इसे पार्स करेगा और मेमोरी में फ़ील्ड्स को बचाएगा और मशीन में फ़ाइलों को एन्क्रिप्ट करने के लिए रजिस्ट्री जानकारी में लिखेगा। मैलवेयर पहले रजिस्ट्री-हाइव “HKEY_LOCAL_MACHINE” में लिखने की कोशिश करेगा, लेकिन यदि वह इसे नहीं बना सकता है, तो वह रजिस्ट्री-हाइव “HKEY_CURRENT_USER” का उपयोग करेगा:

चित्र 12. रजिस्ट्री में लिखें

रजिस्ट्री में लेखन पूरा हो जाने के बाद, इसे SE_DEBUG_PRIVILEGE और SE_IMPERSONATE_PRIVILEGE के रूप में टोकन का उपयोग करके कुछ विशेषाधिकार मिलेंगे:

चित्र 13. टोकन में कुछ विशेष विशेषाधिकार प्राप्त करें

बाद में, मैलवेयर तीन थ्रेड बनाता है, एक मशीन के बारे में जानकारी प्राप्त करने के लिए, जैसे कि ऑपरेटिंग सिस्टम संस्करण, एक प्रक्रिया प्राप्त करने के लिए और दूसरा सिस्टम में सेवाएं प्राप्त करने के लिए।

इस चरण के बाद, यह सिस्टम निर्देशिका प्राप्त करेगा और सिस्टम की वॉल्यूम छाया प्रतियों को हटाने के लिए “VSSadmin” का उपयोग करेगा। वॉल्यूम छाया प्रतियों में एन्क्रिप्टेड फ़ाइलों की प्रतियां हो सकती हैं और यदि कोई बैकअप मौजूद नहीं है, तो इसे पुनर्स्थापित करने का विकल्प होगा।

चित्र 14. छाया खंड हटाएं

बाद में, मैलवेयर तार्किक इकाइयों की गणना करेगा, भविष्य की एन्क्रिप्ट की गई फ़ाइलों के लिए नया एक्सटेंशन तैयार करेगा, जो कि रैंसमवेयर कॉन्फ़िगरेशन में एक यादृच्छिक विस्तार के साथ परिभाषित किया गया है, और निश्चित प्रकार की इकाइयों और दूरस्थ इकाइयों के साथ सभी फ़ाइलों को एन्क्रिप्ट करें नया विस्तार।

चित्र 15. फ़ाइलों को क्रिप्ट करें

इन सभी चरणों के पूरा होने के बाद, यह “SHGetFolderPathlW” और “CreateFileW” फ़ंक्शन का उपयोग करके डेस्कटॉप पर फिरौती नोट बनाएगा। इसके बाद, यह मेमोरी से फिरौती नोट को “WriteFile” फ़ंक्शन के साथ एक नई फ़ाइल में लिख देगा। मैलवेयर रूट फ़ोल्डर में (प्रत्येक उदाहरण के लिए “c: “) फिरौती नोट बनाएगा। इसके बाद, यह उपयोगकर्ता को सिस्टम पर क्या हुआ दिखाने के लिए फिरौती नोट फ़ाइल के तर्क के साथ “notepad.exe” लॉन्च करेगा:

चित्र 16. डेस्कटॉप और रूट इकाइयों में फिरौती नोट का निर्माण

अंत में, फिरौती नोट की फ़ाइलों और निर्माण के एन्क्रिप्शन के बाद, मैलवेयर अस्थायी नाम के साथ मशीन के% अस्थायी% फ़ोल्डर में एक बैट फ़ाइल बनाता है और कार्यक्रम “टास्ककिल” का उपयोग करके खुद को नष्ट करने की सामग्री लिखता है। बैच स्क्रिप्ट कमांड “डेल” का उपयोग करके अपने पथ के साथ मैलवेयर नमूने को हटा देगा और अंत में कमांड “डेल% 0” के साथ बैट फ़ाइल को हटा देगा। बेशक, जैसे कि मालवेयर “डेल” कमांड को डिलीट करने से पहले ही नष्ट कर देता है, इसे कुछ फॉरेंसिक टूल्स के साथ किस्मत के साथ रिकवर किया जा सकता है (बैट फाइल के लिए भी यही कहा जा सकता है)।

इस तरह से मैलवेयर खुद को मशीन से निकालने की कोशिश करता है ताकि सुरक्षा शोधकर्ताओं द्वारा पता लगाया और विश्लेषण किया जा सके:

चित्र 17. टेंप पाथ पाएं और बैट के रूप में एक अस्थायी फ़ाइल बनाएं और इसे लॉन्च करें

अंत में, मैलवेयर “ExitProcess” के साथ समाप्त हो जाएगा।

Decryptor

जब एक नेटवल्कर पीड़ित तकनीकी सहायता से गुजरता है (नीचे इसका एक उदाहरण देखें) और समूह द्वारा मांगी गई फिरौती का भुगतान करता है तो वे डिक्रिप्टर को अपने पर्यावरण को साफ करने के लिए डाउनलोड करने में सक्षम होंगे।

चित्रा 18. नेटवल्कर ऑपरेटरों के साथ बातचीत

डाउनलोड सीधे नेटवॉकर टोर साइट से किया जाता है, जहां भुगतान पृष्ठ एक डाउनलोड पृष्ठ पर स्विच करता है यह प्रमाणित करता है कि भुगतान किया गया था और प्राप्त किया गया था:

चित्र 19. डिक्रिप्टर डाउनलोड

डिक्रिप्टर को एक ज़िप संग्रह में दिया जाता है जिसमें डिक्रिप्टर निष्पादन योग्य होता है और यह नोट करता है कि प्रोग्राम को सही तरीके से कैसे चलाया जाए:

चित्र 20. डिक्रिप्टर वितरण

कार्यक्रम एक ग्राफिकल इंटरफ़ेस लॉन्च करता है जिससे उपयोगकर्ता अपने वर्कस्टेशन को स्वचालित रूप से या मैन्युअल रूप से समझने की अनुमति देता है:

चित्र 21. डिक्रिप्टर निष्पादन

डिक्रिप्शन प्रक्रिया के अंत में, प्रोग्राम डिक्रिप्टेड फ़ाइलों की संख्या को इंगित करता है, फिरौती नोट को हटाता है यदि उपयोगकर्ता ने उस विकल्प की जांच की है, और समाप्त हो जाता है, तो उपयोगकर्ता को शांति से अपने काम को फिर से शुरू करने के लिए छोड़ देता है:

चित्र 22। डिक्रिप्टर ने डिक्रिप्शन प्रक्रिया को समाप्त कर दिया है

डिक्रिप्टर प्रोग्राम अद्वितीय दिखाई देता है और विशेष रूप से एक शिकार से जुड़ा होता है। हमारे उदाहरण में, यह केवल पीड़ित से संबंधित फाइलों को डिक्रिप्ट करता है जिन्होंने फिरौती के नोट में निर्दिष्ट उपयोगकर्ता कुंजी से भुगतान किया था।

भूमिगत विज्ञापन

मार्च 2020 में, मॉनीकर बुगाटी ने दो लोकप्रिय भूमिगत फ़ॉरेस्ट पर नेटवल्कर रैनसमवेयर-ए-ए-सर्विस का सक्रिय रूप से विज्ञापन करना शुरू किया। लगता है कि बुगती फरवरी 2020 में भूमिगत दृश्य में शामिल हो गए हैं, लेकिन सितंबर 2019 से नेटवल्कर रैंसमवेयर के सक्रिय होने का दावा किया जा रहा है। हमने मार्च से पहले नेटवल्कर गतिविधि देखी है, लेकिन उनके विज्ञापन में बड़े पीड़ितों में उल्लेखनीय वृद्धि देखी गई है। अपेक्षाकृत नए रैंसमवेयर के लिए, उदाहरण के लिए, नेमी रैंसमवेयर की तुलना में अन्य साइबर अपराधियों के बीच इसे अच्छी तरह से प्राप्त और सम्मानित किया गया है। नेटवल्कर की प्रतिष्ठा की ताकत ऐसी है कि हमारी वर्तमान परिकल्पना यह है कि बुगाटी के पीछे सबसे अधिक संभावना है कि यह एक अच्छी तरह से सम्मानित और अनुभवी साइबर क्रिमिनल है, भले ही यह एक नया मॉनिकर हो।

चित्र 23. एक भूमिगत मंच पर बुगाटी विज्ञापन नेटवल्कर

बुगाटी रैनसमवेयर में सुधार पर नियमित अपडेट प्रदान करता है, जैसे कि लोकप्रिय इनवोक-रिफ्लेक्टिविव इंजेक्शन विधि, जिसे आमतौर पर सोदिनोकिबी द्वारा भी उपयोग किया जाता है। रैंसमवेयर में सुधार के अलावा, नए सहयोगियों के लिए खुले स्लॉट का विज्ञापन किया जाता है। बुगाटी ने जोर देकर कहा कि वे मुख्य रूप से अनुभवी सहयोगियों की तलाश कर रहे हैं जो उपयोगकर्ताओं के अंत के विपरीत संगठनों के पूर्ण नेटवर्क से समझौता करने पर ध्यान केंद्रित करते हैं। नेटवाल्कर स्पष्ट रूप से अपने शानदार लक्षित रैनसमवेयर साथियों जैसे सोडिनोकिबी, भूलभुलैया और रयूक के नक्शेकदम पर चल रहा है।

विशेष रूप से एक मंच संदेश ने हमारा ध्यान आकर्षित किया क्योंकि इसमें कई आंशिक बिटकॉइन पते और यूएसडी मात्रा के स्क्रीनशॉट शामिल थे। यह सबसे अधिक संभावना रैंसमवेयर की वित्तीय सफलता का प्रदर्शन करने के लिए किया गया था। हमने अतीत में प्रभावशाली सोदिनोकिबी संबद्ध लालतारू के साथ इसी तरह की पोस्टिंग देखी है, इसलिए हमने एक बार फिर पैसे का पालन करने का फैसला किया।

चित्र 24. बुगाटी उन्नत सहयोगी की तलाश में है और बीटीसी भुगतान के नमूने दिखाता है

CipherTrace सॉफ्टवेयर की मदद से हम स्क्रीनशॉट से पूरा BTC एड्रेस ढूंढने में सक्षम थे और आगे बही की जांच:

स्क्रीनशॉट 1

3JHTYZhRmMcq7WCKRzFN98vWvAZk792w9J

स्क्रीनशॉट 2

39aovzbz5rGoQdKjDm6JiybkSu1uGdVJ2V

स्क्रीनशॉट 3

39NRnZtgACDVhhmc7RwmvH9ZDUKTNwwaeB

स्क्रीनशॉट 4

3L4AW5kHnUCZBBjg2j1LBFCUN1RsHPLxCs

पैसे के बाद

भूमिगत फ़ोरम पोस्ट में उल्लिखित लेन-देन में, पीड़ितों द्वारा दी गई फिरौती की रकम को निश्चित रूप से दिखाया गया है। चूंकि बिटकॉइन ब्लॉकचेन एक सार्वजनिक रूप से सुलभ बही है, हम पैसे का पालन कर सकते हैं और देख सकते हैं कि रैंसमवेयर अभिनेता इसे कहां स्थानांतरित कर रहे हैं। उपरोक्त चार पोस्ट किए गए लेनदेन के मामले में, पीड़ित द्वारा भुगतान की गई पूरी राशि दो पते पर स्थानांतरित की गई थी (ये पते क्रमशः bc1q98 और 1DgLhG के साथ शुरू होते हैं)। यह कहना सुरक्षित है कि ये दोनों बिटकॉइन पते नेटवल्कर अभिनेताओं के नियंत्रण में हैं। फिर हम इन दोनों पतों पर आने वाले सभी लेनदेन का विश्लेषण करने के लिए आगे बढ़े और हम निम्नलिखित अवलोकन करने में सक्षम थे:

  • पहला आने वाला लेनदेन 1 मार्च 2020 को होता है।
  • 30 मार्च 2020 को पहला इनकमिंग ट्रांजैक्शन दिखाई देता है जहां 4 अलग-अलग बिटकॉइन एड्रेस के बीच राशि विभाजित होती है। इस तरह का एक विभाजन आमतौर पर रैनसमवेयर-ए-ए-सर्विस में देखा जाता है, जहां फिरौती का भुगतान राएएस ऑपरेटरों और संबद्ध के बीच विभाजन होता है, जो संक्रमण का कारण बनता है। इस पहले लेनदेन में, विभाजन 80%, 10% और दो 5% भाग है। यह विभाजन भूमिगत मंच (80% – 20%) पर विज्ञापन से मेल खाता है।
  • फिरौती के भुगतानों के दो 5% हिस्से विभाजित हैं, ऐसा प्रतीत होता है कि हमने पहले बताए गए दो बिटकॉइन पते पर स्थानांतरित किया था (bc1q98 और 1DgLhG)।
  • जबकि 5% कटौती के लाभार्थी समान हैं, 10% कटौती के लाभार्थी समय के साथ बदलते हैं। फोरम पोस्ट के आधार पर हम मानते हैं कि ये पते नेटवल्कर अभिनेताओं के भी हैं।
  • Bc1q98 और 1DgLhG पतों के लिए भुगतान जिनका विभाजन नहीं हो रहा है, मई के अंत तक जारी रहेंगे। संभवतः शुरुआती नेटवल्कर ऑपरेटरों ने एक राॅस ऑपरेशन को जोड़ा, जबकि खुद नेटवल्कर संक्रमण का कारण बना रहा।
  • 80% या अधिक लेनदेन राशि प्राप्त करने वाले बिटकॉइन पते का विश्लेषण करते समय, हमने देखा कि कुछ पते ऐसे हैं जो कई बार भुगतान प्राप्त करते हैं। एक संभावित स्पष्टीकरण यह हो सकता है कि पते को एक निश्चित अभियान या संबद्ध के लिए भुगतान पते के रूप में कॉन्फ़िगर किया गया है। हमने 30 अद्वितीय बिटकॉइन पते की पहचान की जो फिरौती लेनदेन के इस बड़े हिस्से के लाभार्थी प्रतीत होते हैं। इनमें से कुछ को केवल एक भुगतान प्राप्त हुआ लेकिन कई ऐसे हैं जिन्हें कई भुगतान प्राप्त हुए हैं।
  • लेन-देन को ट्रेस करके दिखाए गए दो पतों में कुल 641 बिटकॉइन 27 जुलाई 2020 को आयोजित किए गए हैं। बिटकॉइन का वर्तमान बाजार मूल्य 7 मिलियन अमरीकी डालर से अधिक है।

फैली हुई मात्रा

परिकल्पना के तहत काम करना कि आने वाले सभी लेनदेन रैंसमवेयर भुगतान हैं; हम निम्नलिखित अवलोकन कर सकते हैं:

  • हमने 23 लेन-देन पाए, जहां फिरौती के भुगतान का विभाजन नहीं हुआ था और लाभार्थी दो बिटकॉइन पते हैं जो भूमिगत फ़ोरम पोस्ट में उल्लिखित लेनदेन का अनुसरण करते हैं। बिटकॉइन की कुल राशि 1 मार्च 2020 और 27 जुलाई 2020 के बीच 677 BTC है। इसके अतिरिक्त, 1 मार्च 2020 से 27 जुलाई 2020 के बीच इन पतों द्वारा रैनसमवेयर-ए-सर्विस सेवा के बाद शेष लेनदेन से प्राप्त राशि 188 बीटीसी है।
  • विभाजित किए गए लेन-देन में, सबसे बड़ी राशि (आमतौर पर कुल लेनदेन मूल्य का 80% से 90%) संभवतः संक्रमण से संबंधित सहबद्ध को हस्तांतरित की जाती है। जब हमने इन सबसे बड़े हिस्से को समेटा, तो हमने देखा कि कुल 1723 बीटीसी संबद्धों को हस्तांतरित किए जा रहे हैं।
  • इन नेटवॉकर संबंधित पते पर लेन-देन का पता लगाने के द्वारा निकाले गए बिटकॉइन की कुल राशि 1 मार्च 2020 से 27 जुलाई 2020 के बीच 2795 बीटीसी है। ऐतिहासिक बिटकॉइन से लेकर USD विनिमय दरों का उपयोग करते हुए, हमारा अनुमान है कि कुल 25 मिलियन अमरीकी डालर के साथ प्रत्यर्पित किया गया इन NetWalker संबंधित लेनदेन।

भले ही नेटवेकर की रैंपिंग शुरू होने से पहले हमारे पास बीटीसी प्रवाह में पूरी दृश्यता नहीं है, एक बात निश्चित है, अकेले इस तिमाही में बड़ी मात्रा में संगठनों को निकालने के लिए अत्यधिक सफल रहा है। यह सब ऐसे समय में है जब कई क्षेत्र संघर्ष कर रहे हैं क्योंकि लोग जगह बना रहे हैं और सरकारें व्यवसायों को दिवालिया होने से बचाने की कोशिश कर रही हैं। NetWalker वैध कंपनियों की पीठ पीछे लाखों बना रहा है।

चित्र 25। दो पहचाने गए अभिनेता पतों को उजागर करते हुए, खुले हुए बिटकॉइन लेनदेन का अवलोकन।

बदला हुआ परिवर्तन

अपने सहयोगियों के साथ नेटवल्कर के प्रभाव के बारे में बात करते हुए, हमने सीखा कि मोडस ऑपरेंडी में बदलाव ने न केवल उस तरह से प्रभावित किया है जिस तरह से अभिनेता अपने पीड़ितों के साथ संवाद करते हैं। जब ईमेल संचार से एक समर्पित टोर छिपी हुई सेवा में बदलाव हुआ, तो अभिनेता भी लेगिट बिटकॉइन पते का उपयोग कर सेगविट के पते से दूर चले गए। नए SegWit पतों का उपयोग करने के लाभों में तेजी से लेन-देन का समय और कम लेनदेन लागत शामिल है। भूमिगत फ़ोरम पर नेटवल्कर विज्ञापन में इस देखे गए परिवर्तन के समय के आसपास त्वरित और पूरी तरह से स्वचालित भुगतान का उल्लेख है। इससे हमें लगता है कि रैनसमवेयर अभिनेता रैनसमवेयर-ए-सर्विस मॉडल के विस्तार से ठीक पहले अपने ऑपरेशन को पेशेवर बना रहे थे।

नेटवल्कर रैनसमवेयर और इससे जुड़े खतरे के अभिनेता की अचानक उपस्थिति को देखते हुए, यह बताता है कि रैनसमवेयर विकास या भूमिगत उपस्थिति पर कुछ पूर्व ज्ञान होना चाहिए था। इस परिकल्पना के साथ, हमने भूमिगत अभिनेताओं और अन्य रैनसमवेयर उपभेदों के संभावित लिंक की खोज की, जो बिल में फिट हो सकते हैं। हमें एक धमकी देने वाला अभिनेता आया जिसने रैंसमवेयर की पेशकश की जिसने हमारा ध्यान खींचा। यह एक मजबूत रैंसमवेयर कनेक्शन के संयोजन में नेटवल्कर नाम का उपयोग था, जिसने हमारी रुचि को उगल दिया।

कुछ साल पहले, मॉनीकर एरिकनेटवाल्कर का उपयोग करने वाला एक धमकी देने वाला अभिनेता कई भूमिगत मंचों पर रैंसमवेयर का विज्ञापन कर रहा था। हमें २०१६ से पोस्ट मिलीं और नवीनतम सार्वजनिक गतिविधि जून २०१ ९ के आसपास थी, इससे कई महीने पहले नेटवल्कर रैंसमवेयर ने अपनी उपस्थिति दर्ज की थी।

चित्र 26. एरिकनेटवॉकर ने 2016 में अपने रैंसमवेयर का विज्ञापन करना शुरू किया (Google रूसी से अनुवादित)

हमारे भूमिगत अनुसंधान के आधार पर, हमने मोनेसर एरिकनेटवॉकर को एम्नेशिया, बॉम्बर और स्कारब रैनसमवेयर के विकास और / या वितरण से जोड़ा। Eriknetwalker ने जून 2019 के आसपास विज्ञापन रैंसमवेयर को रोक दिया। इसलिए, हमने Eriknetwalker से जुड़े विभिन्न रैंसमवेयर उपभेदों और नेटवल्कर के कुछ शुरुआती संस्करणों के बीच तुलनात्मक विश्लेषण करने का फैसला किया।

इस तुलनात्मक विश्लेषण का लक्ष्य यह जानना था कि स्रोत कोड के बीच ओवरलैप था या नहीं। इस तरह के ओवरलैप वर्तमान नेटवल्कर संस्करण और एरिकनेटवल्कर के अन्य रैनसमवेयर संस्करणों के बीच एक मजबूत लिंक का सुझाव दे सकते हैं, संभवतः नाम ओवरलैप को भी समझा सकते हैं।

विश्लेषण को निष्पादित करने के लिए, हमने कई उपकरणों का उपयोग किया जिनमें से एक बाइनरी विज़ुअलाइज़ेशन टूल वेलेस था, जो द्विआधारी जानकारी को एक अमूर्त विज़ुअलाइज़ेशन में अनुवाद करता है जो हमें पैटर्न की पहचान करने और तुलना करने की अनुमति देता है।

रैंसमवेयर के विभिन्न प्रकारों का हमने विश्लेषण करना शुरू कर दिया था जो कि एम्नेशिया, स्कारब और नेटवल्कर के वेरिएंट थे।

चित्रा 27. विभिन्न रैंसमवेयर वेरिएंट के बाइनरी डेटा का सपाट दृश्य

चित्रा 28. विभिन्न रैंसमवेयर वेरिएंट के द्विआधारी डेटा का 3 डी दृश्य

इस तरह से डेटा विज़ुअलाइज़ करना मानव मस्तिष्क का उपयोग पैटर्न को जल्दी से पहचानने और वस्तुओं के बीच तुलना करने में सक्षम होने का एक तरीका है। हमारे मामले में, हम देखते हैं कि आंकड़े 27 और 28 में देखे गए द्विआधारी डेटा के आधार पर, रैंसमवेयर बायनेरिज़ उन मतभेदों को जन्म देते हैं जिन्हें हम अनदेखा नहीं कर सकते।

चित्रा 29. स्रोत कोड परिणामों की तुलना

चित्र 29 में आंकड़े में नामित रैंसमवेयर के विभिन्न वेरिएंट्स पर एक स्रोत कोड समानता विश्लेषण के परिणामों को दिखाया गया है। काफी दिलचस्प है, स्कारब और एम्नेशिया शुरुआती नेटवॉकर नमूनों की तुलना में बुरान और ज़ेपेलिन के साथ एक उच्च ओवरलैप दिखाते हैं। दिखाए गए प्रतिशत कोड की मात्रा है जो दो प्रकारों के बीच समान है।

जैसा कि अवलोकन में स्पष्ट किया गया है, सितंबर 2019 नेटवल्कर संस्करण में एरिकनेटवल्कर-लिंक्ड रैनसमवेयर वेरिएंट का एक अलग कोडबेस है। यह खोज हमारी पिछली परिकल्पना को खारिज कर देती है कि नेटवल्कर कोड ओवरलैप के आधार पर पुराने एम्नेशिया वेरिएंट से जुड़ा हुआ है।

अक्सर, अनुसंधान दल अपने परिणामों को प्रकाशित नहीं करते हैं जब यह अपनी स्वयं की परिकल्पना को बाधित करता है। हालांकि, पारदर्शिता के लिए, हमने अपने शोध प्रयासों को शामिल करने का फैसला किया।

यारा नियम

हमने आज तक जंगली में देखे गए लगभग सभी नमूनों का पता लगाने के लिए एक YARA नियम अपलोड किया।

समझौता के संकेतक

हमारी जाँच के दौरान हमने कई IoCs को NetWalker ransomware से जोड़ा है। उन्हें प्राप्त करने के लिए कृपया हमारे McAfee ATR GitHub साइट पर जाएँ, या McAfee अंतर्दृष्टि के साथ कई अन्य खतरों पर नवीनतम NetWalker IoCs और खुफिया जानकारी प्राप्त करें।

MITER ATT और CK तकनीक

नीचे दी गई तकनीकें हमारे शोध पर आधारित थीं और उद्योग के साथियों के अनुसंधान के साथ पूरक थीं।

  • प्रारंभिक पहुँच
    • एक्सप्लॉइट पब्लिक-फेसिंग एप्लिकेशन (T1190): एक्सप्लॉइट टोमाकट, एक्सप्लॉइट वेबलॉजिक
    • भाला फ़िशिंग अटैचमेंट (T1566.001): फ़िशिंग ईमेल
    • वैध खाते (T1078): RDP ने समझौता किया
  • क्रियान्वयन
    • PowerShell (T1059.001): PowerShell स्क्रिप्ट
    • कमांड और स्क्रिप्टिंग दुभाषिया: विंडोज कमांड शेल (003)
    • सेवा निष्पादन (T1569.002): PsExec
    • Native API (T1106): DLL को इंजेक्ट करने के लिए Windows API फ़ंक्शन का उपयोग करें
    • विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन (T1047)
  • हठ
    • रजिस्ट्री रन कुंजी (T1547.001): रनऑन कुंजी पर एक मान रखें
    • रजिस्ट्री कुंजी (T1112) संशोधित करें: अपनी स्वयं की रजिस्ट्री कुंजी SOFTWARE में बनाएँ
  • सुविधा वृद्धि
    • विशेषाधिकार वृद्धि (T1068) के लिए शोषण: CVE-2020-0796, CVE-2019-1458, CVE-2017-0213, CVE-2015-1701
    • प्रक्रिया इंजेक्शन (T1055.001): चिंतनशील DLL इंजेक्शन
  • रक्षा रक्षा
    • सुरक्षा उपकरण अक्षम करना (T1562.001): ESET AV रिमूवर, ट्रेंड माइक्रो का सुरक्षा एजेंट अनइंस्टॉल टूल, Microsoft सुरक्षा क्लाइंट स्थापना रद्द करना
    • प्रक्रिया इंजेक्शन (T1055.001): चिंतनशील DLL इंजेक्शन
    • Deobfuscate / Decode फ़ाइलें या सूचना (T1140)
    • Obfuscated फ़ाइलें या सूचना (T1027): PowerShell स्क्रिप्ट Base64 और हेक्साडेसिमल एन्कोडिंग और XOR- एन्क्रिप्शन का उपयोग करता है
  • क्रेडेंशियल एक्सेस
    • क्रेडेंशियल डंपिंग (T1003): Mimikatz, Mimidogz, Mimikittenz, विंडोज क्रेडेंशियल एडिटर, Pwdump, LaZagne
    • ब्रूट फोर्स (T1110.001): NLBrute
  • खोज
    • नेटवर्क सर्विस स्कैनिंग (T1046): सॉफ्टपेयर नेटवर्क स्कैनर
    • सुरक्षा सॉफ्टवेयर डिस्कवरी (T1518.001)
    • सिस्टम सूचना डिस्कवरी (T1082)
  • पार्श्व आंदोलन
    • थर्ड-पार्टी सॉफ्टवेयर (T1072): टीम व्यूअर, एनीडेस्क
    • सेवा निष्पादन (टी 1569.002): PsExec
    • पार्श्व उपकरण स्थानांतरण (T1570)
  • संग्रह
    • सूचना रिपॉजिटरी से डेटा (T1213)
    • स्थानीय प्रणाली से डेटा (T1005)
    • नेटवर्क साझा ड्राइव से डेटा (T1039)
  • आदेश और नियंत्रण
    • इनग्रेड टूल ट्रांसफर (T1105)
  • प्रभाव
    • डेटा एनक्रिप्टेड (T1486): नेटवल्कर रैंसमवेयर
    • इनहिबिट सिस्टम रिकवरी (T1490): छाया प्रतियाँ हटा दी गईं
    • सेवा रोक (T1489)

निष्कर्ष

रैंसमवेयर खतरे के अभिनेताओं के लिए एक आकर्षक व्यवसाय के रूप में विकसित हुआ है, रैन्समवेयर बेचने वाले भूमिगत मंचों से, भुगतान के लिए क्रिप्टो मुद्रा प्राप्त करने के माध्यम से पीड़ितों का मार्गदर्शन करने के लिए सहायता पोर्टल्स जैसी सेवाओं की पेशकश करने के लिए, फिरौती की बातचीत के लिए। McAfee की एडवांस थ्रेट रिसर्च टीम ने नेटवल्कर रैंसमवेयर का विश्लेषण किया है और मेलबो रैंसमवेयर की शुरुआती देखरेख से लेकर उसके पुनर्विकास तक नेटवॉकर रैंसमवेयर में इसके विकास का अनुसरण कर रहा है। रैनसमवेयर-ए-इन-सर्विस के व्यवसाय-केंद्रित मॉडल की हालिया पारी एक स्पष्ट संकेत है कि यह आगे बढ़ रहा है, इसलिए ऐसा लगता है कि नेटवल्कर समूह आरईवीएल और अन्य सफल एएएस समूहों के नक्शेकदम पर चल रहा है। रैंसमवेयर डेवलपर्स ने वर्तमान विश्व की घटनाओं को समझने और भुनाने की क्षमता साबित की है और रैनसमवेयर की प्रभावशीलता को सुनिश्चित करने में मदद करने के लिए lures विकसित किए हैं, जिससे उन्हें रैनसमवेयर की पहुंच सीमित करने के साथ ही उन लोगों तक पहुंचने में मदद मिली है, जिनके पास केवल वीट एक्सेस है। बड़े संगठन। जैसा कि रैंसमवेयर का विकास जारी है, हमने गतिविधि में हाल की बदलावों को देखा है जो अन्य रैंसमवेयर विकास के नक्शेकदम पर बारीकी से चलते हैं, जिसमें फिरौती न मिलने पर गोपनीय जानकारी जारी करने के साथ पीड़ितों को धमकी देना भी शामिल है।

McAfee ATR सक्रिय रूप से रैंसमवेयर खतरों की निगरानी कर रहा है और नई और वर्तमान जानकारी के साथ McAfee MVISION इनसाइट्स और इसके सोशल नेटवर्किंग चैनलों को अपडेट करना जारी रखेगा। MVISION इनसाइट्स एकमात्र सक्रिय एंडपॉइंट सुरक्षा समाधान है जो एक साथ प्राथमिकता देता है और भविष्यवाणी करता है कि हमारे ग्राहकों के लिए इस बात को खतरा है कि उनके स्थानीय परिवेश में क्या करना है, इस पर पूर्व निर्धारित मार्गदर्शन प्रदान करते हैं। विपत्तियों से आगे रहना चाहते हैं? अधिक जानकारी के लिए McAfee MVISION इनसाइट्स देखें। यदि आप MVISION इनसाइट्स क्षमताओं में से कुछ का अनुभव करना चाहते हैं, तो MVISION इनसाइट्स का पूर्वावलोकन करें जहां आप उपलब्ध शीर्ष खतरे की जानकारी का चयन कर सकते हैं।

इसके लेखक: थिबॉल्ट सेरेट, वेलेंटाइन मैरेट, जेफरी समन, अल्फ्रेड अल्वाराडो, टिम हक्स, एलेक्जेंडर मुंडो, जॉन फोकर, मार्क रिवरो लोपेज और थॉमस रोकिया।