د معلوماتو لیک د امنیتي خدماتو لپاره یو دردناک ټکی دی. او اوس چې ډیری خلک د کور څخه کار کوي، د لیک خطر خورا لوی دی. له همدې امله مشهور سایبر جرمي ډلې زاړه او ناکافي خوندي ریموټ لاسرسي پروتوکولونو ته زیاته پاملرنه کوي. او، په زړه پورې، نن ورځ د ډیرو معلوماتو لیکونه د Ransomware سره تړاو لري. څنګه، ولې او په کوم ډول - د کټ لاندې ولولئ.
راځئ چې د دې حقیقت سره پیل وکړو چې د ransomware پراختیا او توزیع پخپله خورا ګټور جرمي سوداګرۍ دی. د مثال په توګه، د امریکا د FBI په وینا، په تیر کال کې، هغې په میاشت کې نږدې 1 ملیون ډالر ترلاسه کړل. او برید کونکي چې Ryuk یې کارولي نور هم ترلاسه کړي - د ډلې د فعالیتونو په پیل کې، د دوی عاید په میاشت کې 3 ملیون ډالرو ته رسیږي. نو دا د حیرانتیا خبره نده چې ډیری لوی معلوماتي امنیت افسران (CISOs) د ransomware لیست د دوی د غوره پنځه سوداګرۍ خطرونو څخه دی.
د اکرونیس سایبر محافظت عملیاتو مرکز (CPOC) ، چې په سینګاپور کې موقعیت لري ، د Ransomware په ساحه کې د سایبر جرمونو زیاتوالی تاییدوي. د می په دویمه نیمایي کې، 20٪ ډیر ransomware په ټوله نړۍ کې د معمول په پرتله بند شوي. د یو څه کمښت وروسته، اوس د جون په میاشت کې موږ بیا د فعالیت زیاتوالی ګورو. او د دې لپاره څو لاملونه شتون لري.
د قرباني کمپیوټر ته ورشئ
امنیتي ټیکنالوژي وده کوي، او برید کونکي باید خپل تاکتیکونه یو څه بدل کړي ترڅو یو ځانګړي سیسټم ته ورشي. په نښه شوي Ransomware بریدونه د ښه ډیزاین شوي فشینګ بریښنالیکونو (پشمول ټولنیز انجینرۍ) له لارې خپریدو ته دوام ورکوي. په هرصورت، پدې وروستیو کې، د مالویر پراختیا کونکي لیرې پرتو کارمندانو ته ډیره پاملرنه کوي. د دوی د برید کولو لپاره، تاسو کولی شئ په کمزوري توګه خوندي شوي ریموټ لاسرسي خدمات ومومئ، لکه RDP، یا VPN سرورونه د زیانونو سره.
دا هغه څه دي چې دوی یې کوي. په تیاره نیټ کې حتی د ransomware-as-services شتون لري چې هر هغه څه چمتو کوي چې تاسو ورته اړتیا لرئ په غوره شوي سازمان یا شخص برید وکړئ.
برید کوونکي د هرې لارې په لټه کې دي چې کارپوریټ شبکې ته ننوځي او د دوی برید سپیکٹرم پراخ کړي. په دې توګه، د خدماتو چمتو کونکو شبکو د اخته کولو هڅې یو مشهور رجحان ګرځیدلی. څرنګه چې د بادل خدمتونه نن ورځ شهرت ترلاسه کوي، د یو مشهور خدمت انفیکشن دا ممکنه کوي چې په یو وخت کې په لسګونو یا حتی په سلګونو قربانیانو برید وکړي.
که چیرې د ویب میشته امنیت مدیریت یا بیک اپ کنسولونو سره موافقت وشي ، برید کونکي کولی شي محافظت غیر فعال کړي ، بیک اپ حذف کړي ، او د دوی مالویر ته اجازه ورکړي چې په ټوله اداره کې خپره شي. په هرصورت ، له همدې امله کارپوهان وړاندیز کوي چې د څو فاکتور تصدیق په کارولو سره د ټولو خدماتو حسابونو په احتیاط سره ساتنه وکړي. د مثال په توګه، ټول Acronis کلاوډ خدمتونه تاسو ته اجازه درکوي دوه ځله محافظت نصب کړئ، ځکه چې که ستاسو پټنوم جوړ شوی وي، برید کونکي کولی شي د جامع سایبر محافظت سیسټم کارولو ټولې ګټې رد کړي.
د برید سپیکٹرم پراخول
کله چې مطلوب هدف ترلاسه شي، او مالویر لا دمخه د کارپوریټ شبکې دننه وي، ډیری معیاري تاکتیکونه معمولا د نورو توزیع لپاره کارول کیږي. برید کوونکي وضعیت مطالعه کوي او هڅه کوي هغه خنډونه لرې کړي چې د ګواښونو سره د مبارزې لپاره د شرکت دننه رامینځته شوي. د برید دا برخه په لاسي ډول ترسره کیدی شي (په هرصورت ، که چیرې دوی دمخه په جال کې راوتلي وي ، نو بیت په هک کې دی!). د دې لپاره، مشهور وسیلې کارول کیږي، لکه PowerShell، WMI PsExec، او همدارنګه د نوي کوبالټ سټرایک ایمولیټر او نور اسانتیاوې. ځینې جرمي ډلې په ځانګړې توګه د پټنوم مدیران په نښه کوي ترڅو د شرکت شبکې ته ژور ننوځي. او مالویر لکه Ragnar پدې وروستیو کې د VirtualBox مجازی ماشین بشپړ تړل شوي عکس کې لیدل شوي، کوم چې په ماشین کې د بهرني سافټویر شتون پټولو کې مرسته کوي.
پدې توګه ، یوځل چې مالویر کارپوریټ شبکې ته ننوځي ، دا هڅه کوي د کارونکي لاسرسي کچه وګوري او غلا شوي پاسورډونه وکاروي. اسانتیاوې لکه Mimikatz and Bloodhound & Co. د ډومین مدیر حسابونو هیک کولو کې مرسته وکړئ. او یوازې هغه وخت چې برید کونکی د توزیع اختیارونه پای ته رسوي ، د ransomware مستقیم د پیرودونکي سیسټمونو ته ډاونلوډ کیږي.
Ransomware د پوښ په توګه
د معلوماتو د ضایع کیدو ګواښ ته په پام سره، هر کال ډیری شرکتونه د "د ناورین د بیا رغونې پالن" په نامه یادېږي. د دې څخه مننه ، دوی د کوډ شوي ډیټا په اړه خورا اندیښنه نلري ، او د Ransomware برید په حالت کې ، دوی د تاوان راټولول نه پیل کوي ، مګر د بیا رغونې پروسه پیل کوي. خو برید کوونکي هم خوب نه کوي. د Ransomware تر نامه لاندې، د ډیټا لوی غلا واقع کیږي. Maze لومړی کس و چې په 2019 کې یې په ډله ایزه توګه دا ډول تاکتیکونه کارولي، که څه هم نورې ډلې وخت په وخت ګډ بریدونه کوي. اوس، لږترلږه سوډینوکیبي، نیټفیلم، نیمټي، نیټ والکر، راګنار، پیسیا، دوپل پیمر، CLOP، AKO او Sekhmet د کوډ کولو سره موازي د معلوماتو غلا کې بوخت دي.
ځینې وختونه برید کونکي اداره کوي چې د یو شرکت څخه لسګونه ټیرابایټ ډیټا راټول کړي، کوم چې د شبکې د څارنې وسیلو لخوا کشف شوي (که دوی نصب او ترتیب شوي وي). په هرصورت، ډیری وختونه د معلوماتو لیږد په ساده ډول د FTP، Putty، WinSCP یا PowerShell سکریپټونو په کارولو سره واقع کیږي. د DLP او شبکې څارنې سیسټمونو باندې بریالي کولو لپاره، ډاټا کوډ شوي یا د پټنوم خوندي شوي آرشیف په توګه لیږل کیدی شي، د امنیتي ټیمونو لپاره یوه نوې ننګونه ده چې اړتیا لري د ورته فایلونو لپاره بهر ته تګ راتګ وګوري.
د infostealers چلند مطالعه ښیې چې برید کونکي هرڅه نه راټولوي - دوی یوازې د مالي راپورونو ، د پیرودونکي ډیټابیسونو ، د کارمندانو او پیرودونکو شخصي معلوماتو ، قراردادونو ، ریکارډونو او قانوني اسنادو سره علاقه لري. مالویر د هر هغه معلوماتو لپاره ډرایو سکین کوي چې په تیوريکي توګه د بلیک میل لپاره کارول کیدی شي.
که دا ډول برید بریالی وي، برید کونکي معمولا یو کوچنی ټیزر خپروي، ډیری اسناد ښیې چې دا تاییدوي چې معلومات د سازمان څخه لیک شوي دي. او ځینې ډلې ټول معلومات په خپل ویب پاڼه کې خپروي که چیرې د تاوان د ورکولو وخت پای ته رسیدلی وي. د مخنیوي څخه مخنیوي او پراخه پوښښ ډاډمن کولو لپاره ، معلومات د TOR شبکه کې هم خپاره شوي.
د پیسو مینځلو بله لاره د معلوماتو پلورل دي. د مثال په توګه، سوډینوکیبي پدې وروستیو کې خلاص لیلامونه اعالن کړل په کوم کې چې معلومات ترټولو لوړ داوطلبۍ ته ځي. د دې ډول تجارتونو پیل قیمت د ډیټا کیفیت او مینځپانګې پورې اړه لري $50-100K دی. د مثال په توګه، د 10 نغدو جریان ریکارډونو یوه مجموعه، محرم سوداګریز ډیټا او سکین شوي د موټر چلونکي جوازونه لږ تر لږه $ 000 کې پلورل شوي. او د $ 100 ډالرو لپاره یو څوک کولی شي له 000 څخه ډیر مالي اسناد او د محاسبې فایلونو او پیرودونکو معلوماتو درې ډیټابیسونه واخلي.
هغه سایټونه چیرې چې لیکونه خپاره شوي په پراخه کچه توپیر لري. دا یو ساده پاڼه کیدی شي په کوم کې چې هر څه غلا شوي په ساده ډول پوسټ شوي، مګر د برخو او د پیرود امکانات سره ډیر پیچلي جوړښتونه هم شتون لري. مګر اصلي شی دا دی چې دوی ټول د ورته هدف لپاره خدمت کوي - د برید کونکو د ریښتینې پیسو د ترلاسه کولو امکانات زیات کړي. که چیرې دا سوداګریز ماډل د برید کونکو لپاره ښه پایلې ښیي، نو شک نشته چې حتی نور ورته سایټونه به وي، او د کارپوریټ ډیټا غلا کولو او پیسو ورکولو تخنیکونه به نور هم پراخ شي.
دا هغه څه دي چې اوسني سایټونه چې د معلوماتو لیک خپروي داسې ښکاري:
د نویو بریدونو سره څه وکړي
پدې شرایطو کې د امنیت ټیمونو لپاره اصلي ننګونه دا ده چې پدې وروستیو کې د Ransomware پورې اړوند ډیرې پیښې د ډیټا غلا څخه په ساده ډول یو خنډ دی. برید کونکي نور یوازې د سرور کوډ کولو باندې تکیه نه کوي. برعکس، اصلي هدف د لیک تنظیم کول دي پداسې حال کې چې تاسو د ransomware سره مبارزه کوئ.
په دې توګه، یوازې د بیک اپ سیسټم کارول، حتی د ښه بیا رغونې پالن سره، د څو پرتو ګواښونو سره د مبارزې لپاره کافي ندي. نه، البته، تاسو د بیک اپ کاپي پرته هم نشئ کولی، ځکه چې برید کونکي به خامخا هڅه وکړي چې یو څه کوډ کړي او د تاوان غوښتنه وکړي. خبره دا ده چې اوس د Ransomware په کارولو سره هر برید باید د ترافیک د هر اړخیز تحلیل او د احتمالي برید په اړه د پلټنې پیل کولو لپاره د دلیل په توګه وګڼل شي. تاسو باید د اضافي امنیتي ځانګړتیاو په اړه هم فکر وکړئ چې کولی شي:
- په چټکۍ سره بریدونه کشف کړئ او د AI په کارولو سره د شبکې غیر معمولي فعالیت تحلیل کړئ
- سمدلاسه سیسټمونه د صفر ورځې رینسم ویئر بریدونو څخه بیرته ترلاسه کړئ نو تاسو کولی شئ د شبکې فعالیت وڅارئ
- په کارپوریټ شبکه کې د کلاسیک مالویر او نوي ډول بریدونو خپریدو مخه ونیسئ
- د اوسني زیانمننې او استحصال لپاره سافټویر او سیسټمونه (د لرې لاسرسي په شمول) تحلیل کړئ
- د کارپوریټ حدود څخه هاخوا د نامعلومو معلوماتو لیږد مخه ونیسئ
یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. مهرباني وکړئ
ایا تاسو کله هم د Ransomware برید په جریان کې د شالید فعالیت تحلیل کړی؟
-
۸۵٪هو 1
-
۸۵٪نه 4
5 کاروونکو رایه ورکړه. 2 کاروونکي منع شوي.
سرچینه: www.habr.com