सावधान रहें कि रैंसमवेयर समूह 'वैध' व्यवसाय के रूप में कार्य कर सकते हैं

रैंसमवेयर 2022 में संगठनों का सामना करने वाले सबसे बड़े साइबर खतरों में से एक बन गया है। रैंसमवेयर हमलों का प्रभाव बढ़ रहा है, न केवल कंप्यूटिंग सिस्टम और डेटा बल्कि हमारी भौतिक दुनिया को भी प्रभावित कर रहा है।

इसके अलावा, फिरौती की मांग पिछले वर्षों की तुलना में तेजी से बढ़ी है। हाल के वर्षों में, हमने इन आपराधिक संगठनों को लाभ पहुंचाने की क्षमता के कारण "रैनसमवेयर -ए-ए-सर्विस" (रास) का उदय देखा है।

व्यवसाय एक मजबूत पहचान और एक्सेस प्रबंधन समाधान को लागू करके और अपने सभी खातों में बहु-कारक प्रमाणीकरण को सक्षम करके रास की क्षमता और प्रभाव को कम कर सकते हैं।

रेविल (उर्फ सोडिनोकिबी) रैंसमवेयर-ए-ए-सर्विस आपराधिक गिरोह है जो इतिहास के कुछ सबसे बड़े रैंसमवेयर हमलों के लिए जिम्मेदार है, जिसमें जेबीएस रैंसमवेयर और कासिया आपूर्ति श्रृंखला घटनाएं शामिल हैं।

14 जनवरी 2022 को रूस ने घोषणा की कि उसने रेविल के 14 सदस्यों को गिरफ्तार किया है। यह कदम अमेरिकी अधिकारियों के अनुरोध पर आया, जिन्होंने आपराधिक समूह की गतिविधियों को दबाने के लिए यूरोपोल जैसे अंतरराष्ट्रीय भागीदारों के साथ काम किया।

ये गिरफ्तारियां यूरोपोल की नवंबर की घोषणा के बाद हुई हैं कि पिछले महीनों में आरईविल सहयोगियों की सात गिरफ्तारियां की गई थीं ।

रैंसमवेयर गिरोह अपने व्यवसाय मॉडल को कैसे अनुकूलित करते हैं?

सदस्यता-आधारित सेवा के रूप में रास की लोकप्रियता लगातार बढ़ रही है क्योंकि यह साइबर अपराधियों को रैंसमवेयर व्यवसाय में प्रवेश करने और एक सहयोगी बनने के लिए एक कम बाधा प्रदान करती है। अधिक गंभीर रूप से, यह मॉडल गैर-तकनीकी सहयोगियों को रैंसमवेयर हमलों को सफलतापूर्वक निष्पादित करने की भी अनुमति देता है।

रास समूहों का व्यापार मॉडल अतीत में पारंपरिक रैंसमवेयर हमलों से अलग है। पारंपरिक रैंसमवेयर अपराधियों ने एक एकजुट टीम के तहत काम किया, जिसने मैलवेयर बनाया और हमले को अंजाम दिया।

रास मॉडल में, कम से कम दो पक्ष व्यावसायिक संबंध स्थापित करते हैं : डेवलपर और सहयोगी।

डेवलपर दुर्भावनापूर्ण प्रोग्राम लिखता है, और सहयोगी हमले को अंजाम देता है और फिरौती एकत्र करता है। इन पार्टियों के अलावा, सुरक्षा शोधकर्ताओं ने एक तीसरे पक्ष को रास हमलों में सहायता करते देखा है - जिसे "सेवा प्रदाता" कहा जाता है।

"सेवा प्रदाता" रैंसमवेयर हमले के विभिन्न चरणों में, पीड़ितों के चयन से लेकर, शोषण प्रदान करने और बातचीत में सहयोगी की मदद करता है।

यह व्यवसाय मॉडल कानून प्रवर्तन एजेंसियों की हालिया जीत से आरईविल गतिविधि को अप्रभावित रहने में मदद करता है। सुरक्षा शोधकर्ताओं के शुरुआती संकेत दर्शाते हैं कि रेविल गतिविधि अपरिवर्तित है । यह निरंतर गतिविधि दो परिदृश्यों में से एक का तात्पर्य है:

• गिरफ्तारियों ने केवल आपराधिक गिरोह के पदानुक्रम के भीतर 'बिचौलियों' को प्रभावित किया है

  
  

• रेविल का रैंसमवेयर-ए-ए-सर्विस मॉडल कानून प्रवर्तन के व्यवधान से बचने के लिए पर्याप्त लचीला है

  
  

ये निष्कर्ष एफबीआई, सीआईएसए, एनसीएससी, एसीएससी और एनएसए द्वारा जारी रैनसमवेयर पर एक संयुक्त रिपोर्ट से मेल खाते हैं। रिपोर्ट के अनुसार:

• रास तेजी से पेशेवर हो गया है, व्यावसायिक मॉडल और प्रक्रियाएं अब अच्छी तरह से स्थापित हो गई हैं।

  
  

• व्यवसाय मॉडल एट्रिब्यूशन को जटिल बनाता है क्योंकि डेवलपर्स, सहयोगियों और फ्रीलांसरों के जटिल नेटवर्क हैं।

  
  

• रैंसमवेयर समूह पीड़ितों की जानकारी एक दूसरे के साथ साझा करते हैं, लक्षित संगठनों के लिए खतरे में विविधता लाते हैं।

  
  

रैंसमवेयर-ए-ए-सर्विस और एक्सेस-ए-ए-सर्विस के बीच संबंध

रास आपराधिक संगठनों के लिए सबसे आवश्यक "सेवा प्रदाता" में से एक एक्सेस-ए-ए-सर्विस है, जिसे इनिशियल एक्सेस ब्रोकर्स (आईएबी) के रूप में जाना जाता है। आईएबी रैंसमवेयर हमले के पहले चरण में आवश्यक नेटवर्क तक गुप्त पहुंच प्रदान करते हैं।

चूंकि समय हर व्यवसाय के लिए पैसा है, यहां तक कि आपराधिक लोगों के लिए, रैंसमवेयर-ए-ए-सर्विस अर्थव्यवस्था विस्तारित टोही की आवश्यकता या प्रवेश के लिए एक विधि खोजने के लिए समय को कम करने के लिए IAB पर निर्भर करती है।

इनिशियल एक्सेस ब्रोकर्स एक कीमत के लिए एक्सेस-ए-ए-सर्विस की पेशकश करते हैं और ये अपराधी रैंसमवेयर हमलावरों को कॉर्पोरेट नेटवर्क में एक आसान तरीका प्रदान करते हैं, जिससे वास्तविक हानिकारक हमलों का मार्ग प्रशस्त होता है।

एक्सेस-ए-ए-सर्विस मार्केटप्लेस एक प्रारंभिक कॉर्पोरेट उल्लंघन और बाद के हमलों के बीच डिस्कनेक्ट का स्रोत है जो दिनों या महीनों के बाद भी आते हैं।

IAB अपने द्वारा बेचे जाने वाले क्रेडेंशियल्स को कई अलग-अलग जगहों से सोर्स करते हैं। ये क्रेडेंशियल सार्वजनिक डोमेन में हो सकते हैं, अन्य हमलावरों से खरीदे गए, भेद्यता शोषण से पाए गए, या अन्य उल्लंघनों से हैं।

प्राथमिक सेवाओं में से एक जो दलालों तक पहुँच प्रदान करता है वह क्रेडेंशियल सत्यापन है । इन क्रेडेंशियल्स के स्रोत के बावजूद, आईएबी हमेशा यह सत्यापित करने का प्रयास करते हैं कि क्या वे मैन्युअल रूप से कोशिश करके या विशेष स्क्रिप्ट का उपयोग करके काम करते हैं जो इसे बड़े पैमाने पर कर सकते हैं।

साइबर सुरक्षा फ़ोरम KELA के शोध के अनुसार, IAB $4600 में आरंभिक एक्सेस बेचते हैं, और बिक्री को अंतिम रूप देने में एक से तीन दिनों के बीच का समय लगता है। एक बार एक्सेस खरीद लेने के बाद, रैंसमवेयर अटैक होने में एक महीने तक का समय लगता है। कम से कम, पांच ज्ञात रूसी-भाषी रैंसमवेयर ऑपरेटर IABs का उपयोग कर रहे हैं: LockBit, Avaddon, DarkSide, Conti, और BlackByte।

डार्कसाइड औपनिवेशिक पाइपलाइन पर हमले के लिए बदनाम है, जिसके कारण संयुक्त राज्य अमेरिका में ईंधन की खरीद-फरोख्त हुई। सुपर बाउल के शुरू होने से ठीक पहले, सैन फ्रांसिस्को 49ers ब्लैकबाइट का नवीनतम शिकार बन गया, जिसने एक लीक वेबसाइट पर संगठन का नाम भी दिया।

रास से बचाव के लिए अनुशंसित रणनीतियाँ क्या हैं?

हालांकि सुरक्षा सर्वोत्तम अभ्यास जैसे प्रभावी बैकअप क्षमताएं, नेटवर्क को विभाजित करना, दुर्भावनापूर्ण ईमेल की निगरानी करना और उपयोगकर्ताओं को उनके प्रभाव से बचाना उत्कृष्ट निवारक उपाय हैं, कॉर्पोरेट रक्षा रणनीतियों को इन चरणों तक सीमित नहीं होना चाहिए।

मजबूत पहुंच नीतियों द्वारा समर्थित प्रभावी और कुशल पहचान और एक्सेस प्रबंधन नियंत्रणों की तैनाती से आईएबी द्वारा प्रारंभिक क्रेडेंशियल उल्लंघन को महत्वपूर्ण रूप से रोका जा सकता है जो बाद में रैंसमवेयर हमले की अनुमति देता है।

• सार्वजनिक क्रेडेंशियल उल्लंघनों की निगरानी करें। आपके नेटवर्क में उल्लंघन के संकेत देखने के लिए इन उल्लंघनों को लाल झंडे उठाना चाहिए।

  
  

• यदि आपको संदेह है कि आपके कुछ क्रेडेंशियल खुले में हैं, तो सभी उपयोगकर्ताओं के लिए एक पासवर्ड रीसेट ट्रिगर करें।

  
  

• अपने सभी कर्मचारियों, भागीदारों और आपूर्तिकर्ताओं के लिए बहु-कारक प्रमाणीकरण (एमएफए) स्थापित करने पर दृढ़ता से विचार करें। एमएफए को केवल अपने विशेषाधिकार प्राप्त खातों तक सीमित न रखें क्योंकि कोई भी कर्मचारी संभावित लक्ष्य है।

  
  

  थेल्स में उत्पाद विपणन, पहचान और एक्सेस प्रबंधन (IAM) के निदेशक के रूप में, Danna Bethlehem का सुझाव है कि व्यवसाय FIDO2 जैसे आधुनिक बहु-कारक प्रमाणीकरण विधियों की ओर बढ़ते हैं। वह कहती हैं, "FIDO2 एक पासवर्ड रहित, बहु-कारक प्रमाणीकरण प्रदान करता है," "कर्मचारियों के लिए लॉगिन अनुभव को आसान बनाते हुए उच्च स्तर की सुरक्षा के साथ।"

  
  

• उन चीजों की तलाश करके उपयोगकर्ता के व्यवहार की निगरानी करें जो आपके कर्मचारियों को नहीं करनी चाहिए।

  
  

• पासवर्ड नीतियों पर मानक सर्वोत्तम प्रथाओं का उपयोग करने पर विचार करें, जैसे कि NIST या ENISA द्वारा विकसित।

  
  

• मान लें कि आपके कर्मचारियों ने पहले ही अपराधियों के लिए अपना पासवर्ड खो दिया है, और इसलिए, आपका उल्लंघन किया गया है और आपका पर्दाफाश हो गया है। तब आप अपने नेटवर्क पर शून्य विश्वास वास्तुकला और सुरक्षा मुद्रा के एक रूप को लागू करने के लिए मजबूर होंगे।

  
  

रैंसमवेयर अपराधी अपने व्यापार मॉडल को आगे बढ़ा रहे हैं, जो अब लक्ष्य नेटवर्क तक पहुंच खरीदने पर आधारित है। इसलिए, एक्सेस-ए-ए-सर्विस बाजार प्रमुखता और विशेषज्ञता में बढ़ रहा है।

यदि कोई कंपनी स्वयं को क्रेडेंशियल चोरी से बचा सकती है, तो भविष्य में रैंसमवेयर के किसी भी हमले से खुद को बचाने के लिए यह बेहतर स्थिति में है। सबसे अच्छी रक्षा रणनीति मजबूत पहचान और पहुंच प्रबंधन स्थापित करना और शून्य-विश्वास सुरक्षा नीति के ढांचे में आपके सभी खातों में बहु-कारक प्रमाणीकरण को सक्षम करना है।