रैंसमवेयर का नया ब्रांड: नया नाम, वही पुरानी सेंधमारी

क्या हुआ

परिचालन चपलता के एक चिंताजनक प्रदर्शन में, एक रैंसमवेयर सिंडिकेट, जिसे पहले एक अलग नाम से जाना जाता था, ने अपनी रीब्रांडिंग पहल को तत्काल और प्रभावशाली प्रभाव के साथ शुरू किया। नई पहचान के तहत सार्वजनिक संचालन के पहले सात दिनों के भीतर, समूह ने एक समर्पित डार्कनेट लीक साइट स्थापित की। इस प्लेटफॉर्म पर तुरंत तीन अलग-अलग फॉर्च्यून 500 संगठनों को दिखाया गया, जिसमें सेंधमारी के सबूत के तौर पर एक्सफ़िल्टरेटेड डेटा प्रदर्शित किया गया।

प्रारंभिक डेटा डंप, विशेष रूप से एक प्रमुख QSR, एक अग्रणी ऑटोमोटिव आपूर्तिकर्ता और एक वैश्विक लॉजिस्टिक्स फर्म को लक्षित करते हुए, मुख्य रूप से संवेदनशील अनुबंध दस्तावेज़ों से बना था। इसमें विक्रेता समझौते, संबंधित शर्तों के साथ ग्राहक सूचियां और आंतरिक वित्तीय अनुमान शामिल थे। त्वरित सार्वजनिक प्रदर्शन ने घुसपैठ और डेटा एक्सफ़िल्ट्रेशन दोनों में समूह के आत्मविश्वास और क्षमता को रेखांकित किया।

रीब्रांडेड इकाई द्वारा किए गए उच्च-प्रोफ़ाइल उल्लंघनों की यह तीव्र श्रृंखला एक रणनीतिक बदलाव का संकेत देती है। यह ऐतिहासिक बोझ को हटाने, संभावित रूप से कानून प्रवर्तन की जांच से बचने और साइबरक्रिमिनल पारिस्थितिकी तंत्र के भीतर बाजार की उपस्थिति को फिर से स्थापित करने का एक जानबूझकर प्रयास इंगित करता है। कई बड़े उद्यमों को तत्काल लक्षित करना पूर्व-मौजूदा पहुंच या अत्यधिक कुशल प्रारंभिक पहुंच ब्रोकर (IAB) नेटवर्क का सुझाव देता है।

यह पैटर्न क्यों दोहराता रहता है

ऐसे रैंसमवेयर ऑपरेशंस की लगातार सफलता कई कारकों के संगम से उपजी है, मुख्य रूप से सामान्य सुरक्षा कमजोरियों का निरंतर शोषण और खतरे वाले अभिनेताओं की अनुकूलनशीलता। संगठन अक्सर व्यापक संपत्ति दृश्यता, पैच प्रबंधन अनुशासन और मजबूत पहचान और अभिगम नियंत्रण के साथ संघर्ष करते हैं। ये मूलभूत कमियां प्रारंभिक सेंधमारी के लिए उपजाऊ जमीन प्रदान करती हैं।

खतरे वाले अभिनेता, जिनमें रीब्रांडेड समूहों के पीछे के लोग भी शामिल हैं, ज्ञात कमजोरियों और गलत विन्यासों का लाभ उठाने में माहिर हैं। वे अपने TTP को लगातार परिष्कृत करते हैं, साधारण एन्क्रिप्शन से आगे बढ़कर डबल एक्सटॉर्शन को अपनाते हैं, जो पीड़ितों पर दबाव को काफी बढ़ाता है। वित्तीय प्रोत्साहन बहुत अधिक रहता है, जो नए टूलिंग और हमले के तरीकों में चल रहे निवेश को बढ़ावा देता है।

रीब्रांडिंग घटना स्वयं एक सामरिक युद्धाभ्यास है। यह समूहों को पिछली प्रतिबंधों, सार्वजनिक पहचान या समझौता किए गए बुनियादी ढांचे से खुद को दूर करने की अनुमति देता है। एक नई पहचान आपराधिक अंडरवर्ल्ड के भीतर भर्ती, बातचीत और जनसंपर्क के लिए एक साफ स्लेट प्रदान करती है, अक्सर अद्यतन मैलवेयर उपभेदों या बढ़ी हुई परिचालन सुरक्षा प्रथाओं के साथ।

हमलावर की कार्यप्रणाली चरण-दर-चरण

प्रारंभिक पहुँच

इस समूह ने संभवतः कई तरीकों के संयोजन के माध्यम से प्रारंभिक पहुंच प्राप्त की। फ़िशिंग अभियान, अक्सर अत्यधिक लक्षित स्पीयर-फ़िशिंग, मैलवेयर या क्रेडेंशियल हार्वेस्टिंग लिंक प्रदान करने वाला एक प्राथमिक वेक्टर बना हुआ है। अप्रयुक्त सार्वजनिक-सामना वाले अनुप्रयोगों का शोषण, विशेष रूप से ज्ञात CVEs वाले जैसे कि लोकप्रिय VPN समाधानों या वेब सर्वर (जैसे Fortinet, Apache Struts) में देखे गए, एक और सामान्य प्रवेश बिंदु है। IABs से खरीदे गए समझौता किए गए RDP क्रेडेंशियल का उपयोग भी तेजी से प्रवेश की सुविधा प्रदान करता है।

आधार और खोज

एक बार अंदर जाने के बाद, हमलावर दृढ़ता स्थापित करते हैं, आमतौर पर अनुसूचित कार्यों, संशोधित स्टार्टअप आइटम या TeamViewer या AnyDesk जैसे वैध रिमोट एक्सेस टूल के माध्यम से। फिर वे व्यापक आंतरिक टोही प्रदर्शन करते हैं, नेटवर्क टोपोलॉजी का मानचित्रण करते हैं, महत्वपूर्ण संपत्तियों की पहचान करते हैं और संवेदनशील डेटा स्टोर का पता लगाते हैं। BloodHound या AdFind जैसे टूल का उपयोग अक्सर एक्टिव डायरेक्टरी गणना के लिए किया जाता है।

पार्श्व आंदोलन और विशेषाधिकार वृद्धि

खोजे गए क्रेडेंशियल, गलत विन्यास या अप्रयुक्त प्रणालियों का लाभ उठाते हुए, हमलावर नेटवर्क में पार्श्व रूप से चलते हैं। तकनीकों में पास-द-हैश, पास-द-टिकट और विंडोज सेवाओं का शोषण शामिल है। विशेषाधिकार वृद्धि एक महत्वपूर्ण कदम है, अक्सर कर्बरोस्टिंग जैसी तकनीकों या विंडोज ओएस घटकों में कमजोरियों का फायदा उठाकर डोमेन प्रशासक खातों को लक्षित किया जाता है।

डेटा एक्सफ़िल्ट्रेशन

रैंसमवेयर को तैनात करने से पहले, समूह डेटा एक्सफ़िल्ट्रेशन पर ध्यान केंद्रित करता है। वे उच्च-मूल्य वाली बौद्धिक संपदा, वित्तीय रिकॉर्ड, एचआर डेटा और ग्राहक जानकारी की पहचान करते हैं। डेटा को आमतौर पर आंतरिक सर्वर पर स्टेज किया जाता है, संपीड़ित किया जाता है, और फिर एन्क्रिप्टेड चैनलों के माध्यम से क्लाउड स्टोरेज या अभिनेता-नियंत्रित बुनियादी ढांचे में एक्सफ़िल्ट्रेट किया जाता है, अक्सर सामान्य पोर्ट या वैध वेब सेवाओं के माध्यम से पारंपरिक निकास फ़िल्टरिंग को बायपास करते हुए।

एन्क्रिप्शन और जबरन वसूली

अंत में, रैंसमवेयर पेलोड को महत्वपूर्ण प्रणालियों में तैनात किया जाता है, फ़ाइलों को एन्क्रिप्ट करता है और उन्हें दुर्गम बनाता है। साथ ही, लीक साइट को एक्सफ़िल्ट्रेशन के प्रमाण और सेंधमारी की सार्वजनिक घोषणा के साथ अद्यतन किया जाता है। डबल एक्सटॉर्शन तंत्र—एन्क्रिप्शन के साथ-साथ डेटा प्रकाशन की धमकी—पीड़ितों पर फिरौती का भुगतान करने के लिए दबाव को अधिकतम करता है।

रक्षकों ने क्या खोया

इन विशिष्ट घटनाओं में, कई सामान्य रक्षात्मक कमियां स्पष्ट रूप से दिखाई देती हैं। तीव्र प्रारंभिक सेंधमारी मौलिक सुरक्षा स्वच्छता में विफलता का सुझाव देती है, जैसे इंटरनेट-फेसिंग सिस्टम की समय पर पैचिंग या परिष्कृत फ़िशिंग हमलों के खिलाफ मजबूत सुरक्षा। यहां तक कि आधुनिक EDR समाधानों के साथ भी, सक्रिय खतरे की तलाश की कमी या गलत तरीके से कॉन्फ़िगर किए गए पहचान नियम हमलावरों को विस्तारित अवधि के लिए अनियंत्रित रूप से संचालित करने की अनुमति दे सकते हैं।

"रीब्रांड सिर्फ दिखावा है। मूल कमजोरियां वही रहती हैं, और हमारे विरोधी मानवीय और तकनीकी अंध बिन्दुओं का फायदा उठाने में माहिर हैं।"

बड़ी मात्रा में अनुबंध डेटा को एक्सफ़िल्ट्रेट करने की क्षमता प्रभावी डेटा हानि रोकथाम (DLP) नियंत्रणों की अनुपस्थिति या असामान्य आउटबाउंड नेटवर्क ट्रैफ़िक की पर्याप्त निगरानी में विफलता का तात्पर्य है। इसके अलावा, सार्वजनिक लीक साइट का बिना किसी पूर्व संगठनात्मक जागरूकता के लाइव होना बाहरी खतरे की खुफिया निगरानी में एक अंतर को इंगित करता है, विशेष रूप से डार्क वेब गतिविधि और लीक साइट ट्रैकिंग के संबंध में।

कई संगठन अभी भी विरासत प्रणालियों या जटिल नेटवर्क खंडों के संबंध में 'अगर यह टूटा नहीं है, तो इसे ठीक न करें' की मानसिकता के साथ काम करते हैं। यह अंध बिन्दु और अप्रबंधित हमले के सतह बनाता है जिसे खतरे वाले अभिनेता विशेषज्ञ रूप से पहचानते और शोषण करते हैं, अक्सर आधुनिक बुनियादी ढांचे के लिए डिज़ाइन किए गए बचाव को बायपास करते हैं। एक्सफ़िल्ट्रेट किए गए डेटा की भारी मात्रा एक संभावित लंबे समय तक रहने वाले समय को इंगित करती है, जो टोही और पार्श्व आंदोलन चरणों के दौरान पहचान विफलताओं का सुझाव देती है।

एक व्यावहारिक रक्षात्मक चेकलिस्ट

• पैच प्रबंधन को प्राथमिकता दें: सभी इंटरनेट-फेसिंग अनुप्रयोगों, ऑपरेटिंग सिस्टम और नेटवर्क उपकरणों के लिए एक आक्रामक पैचिंग शेड्यूल लागू करें। गंभीर और उच्च-गंभीरता वाले CVEs पर तुरंत ध्यान केंद्रित करें।
• पहचान और अभिगम प्रबंधन बढ़ाएँ: सभी रिमोट एक्सेस, प्रशासनिक खातों और महत्वपूर्ण व्यावसायिक अनुप्रयोगों में मल्टी-फैक्टर प्रमाणीकरण (MFA) को लागू करें। कम से कम विशेषाधिकार के सिद्धांतों को सख्ती से लागू करें।
• एंडपॉइंट डिटेक्शन और रिस्पांस (EDR) को मजबूत करें: सुनिश्चित करें कि EDR समाधान पूरी तरह से तैनात हैं, अधिकतम दृश्यता के लिए कॉन्फ़िगर किए गए हैं, और सक्रिय रूप से निगरानी की जाती है। सहसंबंध और तीव्र प्रतिक्रिया के लिए EDR अलर्ट को केंद्रीकृत SIEM के साथ एकीकृत करें।
• नेटवर्क को विभाजित करें और ज़ीरो ट्रस्ट लागू करें: माइक्रो-सेगमेंटेशन के माध्यम से महत्वपूर्ण संपत्तियों और संवेदनशील डेटा स्टोर को अलग करें। एक ज़ीरो ट्रस्ट आर्किटेक्चर अपनाएं, स्थान की परवाह किए बिना पहुंच प्रदान करने से पहले प्रत्येक उपयोगकर्ता और डिवाइस को सत्यापित करें।
• मजबूत डेटा हानि रोकथाम (DLP) लागू करें: संवेदनशील डेटा के अनधिकृत एक्सफ़िल्ट्रेशन की निगरानी और रोकथाम के लिए DLP समाधान तैनात करें। बाहरी गंतव्यों में असामान्य डेटा स्थानान्तरण के लिए अलर्ट कॉन्फ़िगर करें।
• नियमित प्रवेश परीक्षण और रेड टीमिंग करें: उन्नत लगातार खतरों के यथार्थवादी सिमुलेशन के लिए तीसरे पक्ष को शामिल करें। महत्वपूर्ण डेटा के लिए शोषण योग्य मार्गों की पहचान करने पर ध्यान केंद्रित करें, न कि केवल सतही कमजोरियों पर।
• बाहरी खतरे की खुफिया जानकारी में निवेश करें: अपनी संस्था, उसकी सहायक कंपनियों या प्रमुख कर्मियों के उल्लेख के लिए डार्क वेब फ़ोरम, लीक साइट्स और रैंसमवेयर समूह गतिविधि की लगातार निगरानी करें। यह सक्रिय खुफिया जानकारी आगामी हमलों या एक्सफ़िल्ट्रेशन की शुरुआती चेतावनी प्रदान कर सकती है।

आधुनिक आक्रामक परीक्षण ने इसे कैसे पकड़ा होगा

आधुनिक आक्रामक सुरक्षा परीक्षण, विशेष रूप से निरंतर पर्पल टीमिंग और उन्नत रेड टीम एंगेजमेंट के रूप में, एक महत्वपूर्ण लाभ प्रदान करता है। केवल आवधिक भेद्यता स्कैन पर निर्भर रहने के बजाय, ये दृष्टिकोण पूरे किल चेन में वास्तविक दुनिया के हमलावर TTPs का अनुकरण करते हैं। इसमें परिष्कृत फ़िशिंग के माध्यम से प्रारंभिक पहुंच का प्रयास करना, ज़ीरो-डे या एन-डे कमजोरियों का शोषण करना, चोरी किए गए क्रेडेंशियल के साथ पार्श्व आंदोलन करना और डेटा एक्सफ़िल्ट्रेशन का प्रयास करना शामिल है।

इस तरह के परीक्षण ने व्यवस्थित रूप से उन विशिष्ट वैक्टरों और गलत विन्यासों की पहचान की होगी जिन्होंने प्रारंभिक सेंधमारी की अनुमति दी थी, पार्श्व आंदोलन मार्गों का पता लगाया होगा, और एक्सफ़िल्ट्रेशन चैनलों की पुष्टि की होगी। एक मजबूत कार्यक्रम में बाहरी हमले की सतहों की निरंतर निगरानी, प्रमुख संगठनात्मक संपत्तियों का उल्लेख करने वाली डार्क वेब चर्चाएं, और ज्ञात खतरे वाले समूहों के विकसित हो रहे TTPs भी शामिल होंगे। यह ऐसी खुफिया जानकारी प्रदान करता है जो रक्षकों को सबसे प्रासंगिक और वर्तमान खतरों के खिलाफ अपनी स्थिति को सक्रिय रूप से मजबूत करने की अनुमति देता है।

आगे क्या देखना है

रैंसमवेयर समूहों के रीब्रांडिंग और तुरंत आक्रामक संचालन फिर से शुरू करने की प्रवृत्ति जारी रहने की संभावना है। CISOs को आपूर्ति श्रृंखला हमलों पर बढ़ते ध्यान की उम्मीद करनी चाहिए, बड़े लक्ष्यों तक प्रारंभिक पहुंच प्राप्त करने के लिए विश्वसनीय विक्रेता संबंधों का लाभ उठाना चाहिए। हम डेटा एक्सफ़िल्ट्रेशन तकनीकों में और सुधार भी देखेंगे, संभावित रूप से पारंपरिक बचाव को बायपास करने के लिए अधिक मायावी चैनलों और वैध क्लाउड सेवाओं का उपयोग करेंगे।

अत्यधिक विशेषाधिकार प्राप्त व्यक्तियों को लक्षित करने वाले अधिक परिष्कृत सामाजिक इंजीनियरिंग अभियानों की अपेक्षा करें, जो बढ़ी हुई यथार्थवाद के लिए एआई-जनित सामग्री का लाभ उठाते हैं। इसके अलावा, रैंसमवेयर का अन्य साइबर अपराध गतिविधियों, जैसे क्रिप्टोजैकिंग या राज्य-प्रायोजित जासूसी के साथ अभिसरण, पहचान को अस्पष्ट कर सकता है और घटना प्रतिक्रिया को जटिल बना सकता है। लचीलापन और तीव्र पुनर्प्राप्ति पर ध्यान केंद्रित करते हुए सक्रिय, खुफिया-नेतृत्व वाली रक्षा, इन विकसित हो रहे खतरों को कम करने में सर्वोपरि होगी।