ڊيٽا ليڪ سيڪيورٽي سروسز لاء هڪ زخم پوائنٽ آهن. ۽ هاڻي ته گهڻا ماڻهو گهر کان ڪم ڪري رهيا آهن، ليڪ جو خطرو تمام وڏو آهي. اهو ئي سبب آهي ته سڃاتل سائبر ڪرمنل گروهه پراڻي ۽ غير محفوظ طور تي محفوظ ريموٽ رسائي پروٽوڪول تي وڌيڪ ڌيان ڏئي رهيا آهن. ۽، دلچسپ ڳالهه اها آهي ته، اڄڪلهه وڌيڪ ۽ وڌيڪ ڊيٽا ليڪ Ransomware سان لاڳاپيل آهن. ڪيئن، ڇو ۽ ڪهڙي طريقي سان - ڪٽي هيٺ پڙهو.
اچو ته ان حقيقت سان شروع ڪريون ته ransomware جي ترقي ۽ تقسيم پنهنجو پاڻ ۾ هڪ تمام منافعي وارو جرمي ڪاروبار آهي. مثال طور، آمريڪي ايف بي بي جي مطابق، گذريل سال دوران، هوءَ هر مهيني تقريبن 1 ملين ڊالر ڪمائي ٿي. ۽ حملو ڪندڙ جيڪي Ryuk استعمال ڪيا ويا اڃا به وڌيڪ - گروپ جي سرگرمين جي شروعات ۾، انهن جي آمدني هر مهيني $ 3 ملين ڊالر هئي. تنهنڪري اها تعجب جي ڳالهه ناهي ته ڪيترائي چيف انفارميشن سيڪيورٽي آفيسر (سي آءِ ايس اوز) ransomware کي انهن جي مٿين پنجن ڪاروباري خطرن مان هڪ جي طور تي لسٽ ڪن ٿا.
Acronis سائبر پروٽيڪشن آپريشن سينٽر (CPOC)، سنگاپور ۾ واقع، Ransomware علائقي ۾ سائبر ڪرائم ۾ اضافو جي تصديق ڪري ٿو. مئي جي ٻئي اڌ ۾، 20٪ وڌيڪ ransomware سڄي دنيا ۾ معمول کان وڌيڪ بلاڪ ڪيو ويو. ٿورڙي گهٽتائي کان پوء، هاڻي جون ۾ اسان ٻيهر سرگرمي ۾ اضافو ڏسي رهيا آهيون. ۽ هن جا ڪيترائي سبب آهن.
مقتول جي ڪمپيوٽر تي وڃو
سيڪيورٽي ٽيڪنالاجيون ترقي ڪري رهيون آهن، ۽ حملي آورن کي پنهنجي حڪمت عملي کي ڪجهه حد تائين تبديل ڪرڻو پوندو ته جيئن هڪ مخصوص سسٽم ۾ داخل ٿئي. ھدف ٿيل Ransomware حملن کي چڱي طرح ڊزائين ڪيل فشنگ اي ميلن (بشمول سوشل انجنيئرنگ) ذريعي پکڙجڻ جاري آھي. بهرحال، تازو، مالويئر ڊولپرز ريموٽ ڪارڪنن ڏانهن تمام گهڻو ڌيان ڏئي رهيا آهن. انهن تي حملو ڪرڻ لاءِ، توهان ڳولي سگهو ٿا خراب طور تي محفوظ ٿيل ريموٽ رسائي سروسز، جهڙوڪ RDP، يا VPN سرورن سان خطرات.
اھو اھو آھي جيڪو اھي ڪندا آھن. اتي به آهن ransomware-as-a-services darknet تي جيڪي هر شي مهيا ڪن ٿيون جيڪي توهان کي چونڊيل تنظيم يا شخص تي حملو ڪرڻ جي ضرورت آهي.
حملو ڪندڙ ڪارپوريٽ نيٽ ورڪ ۾ داخل ٿيڻ ۽ انهن جي حملي جي دائري کي وڌائڻ لاءِ ڪنهن به طريقي سان ڳولي رهيا آهن. ان ڪري، سروس فراهم ڪندڙن جي نيٽ ورڪ کي متاثر ڪرڻ جي ڪوشش هڪ مشهور رجحان بڻجي چڪو آهي. جيئن ته ڪلائوڊ سروسز اڄ صرف مقبوليت حاصل ڪري رهيون آهن، هڪ مشهور سروس جي انفيڪشن کي ممڪن بڻائي ٿو ته هڪ وقت ۾ درجنين يا سوين متاثرين تي حملو ڪرڻ.
جيڪڏهن ويب تي ٻڌل سيڪيورٽي مينيجمينٽ يا بيڪ اپ ڪنسولز سمجهوتو ڪيو ويو آهي، حملو ڪندڙ تحفظ کي غير فعال ڪري سگهن ٿا، بيڪ اپ کي حذف ڪري سگهن ٿا، ۽ انهن جي مالويئر کي سڄي تنظيم ۾ ڦهلائڻ جي اجازت ڏين ٿا. رستي جي ذريعي، اهو ئي سبب آهي ته ماهر احتياط سان سڀني سروس اڪائونٽن جي حفاظت ڪن ٿا ملٽي فيڪٽر جي تصديق استعمال ڪندي. مثال طور، سڀئي Acronis ڪلائوڊ خدمتون توهان کي ڊبل تحفظ کي نصب ڪرڻ جي اجازت ڏين ٿيون، ڇو ته جيڪڏهن توهان جو پاسورڊ سمجهوتو ڪيو ويو آهي، حملي ڪندڙ هڪ جامع سائبر تحفظ سسٽم استعمال ڪرڻ جي سڀني فائدن کي رد ڪري سگهن ٿا.
حملي جي اسپيڪٽرم کي وڌايو
جڏهن قيمتي مقصد حاصل ڪيو وڃي ٿو، ۽ مالويئر اڳ ۾ ئي ڪارپوريٽ نيٽ ورڪ جي اندر آهي، ڪافي معياري حڪمت عمليون عام طور تي وڌيڪ پکيڙڻ لاء استعمال ڪيا ويندا آهن. حملو ڪندڙ صورتحال جو مطالعو ڪن ٿا ۽ انهن رڪاوٽن کي دور ڪرڻ جي ڪوشش ڪن ٿا جيڪي ڪمپني جي اندر پيدا ٿيل خطرن کي منهن ڏيڻ لاءِ. حملي جو هي حصو دستي طور تي ٿي سگهي ٿو (آخرڪار، جيڪڏهن اهي اڳ ۾ ئي نيٽ ۾ پئجي ويا آهن، پوء بٽ ٿلهو تي آهي!). ان لاءِ، سڃاتل اوزار استعمال ڪيا ويندا آھن، جھڙوڪ PowerShell، WMI PsExec، گڏوگڏ نئون Cobalt Strike emulator ۽ ٻيون افاديتون. ڪجهه ڏوهن وارا گروهه خاص طور تي پاسورڊ مينيجرز کي ٽارگيٽ ڪن ٿا ڪارپوريٽ نيٽ ورڪ ۾ گهيرو ڪرڻ لاءِ. ۽ مالويئر جهڙوڪ Ragnar تازو ئي VirtualBox ورچوئل مشين جي مڪمل طور تي بند ٿيل تصوير ۾ ڏٺو ويو، جيڪو مشين تي پرڏيهي سافٽ ويئر جي موجودگي کي لڪائڻ ۾ مدد ڪري ٿو.
ان ڪري، هڪ دفعو مالويئر ڪارپوريٽ نيٽ ورڪ ۾ داخل ٿئي ٿو، اهو صارف جي رسائي جي سطح کي جانچڻ ۽ چوري ٿيل پاسورڊ استعمال ڪرڻ جي ڪوشش ڪري ٿو. يوٽيلٽيز جهڙوڪ Mimikatz ۽ Bloodhound & Co. ڊومين ايڊمنسٽريٽر اڪائونٽس کي هيڪ ڪرڻ ۾ مدد ڪريو. ۽ صرف جڏهن حملي ڪندڙ تقسيم جي اختيارن کي ختم ڪري ٿو، ransomware سڌو سنئون ڪلائنٽ سسٽم تي ڊائون لوڊ ڪيو ويو آهي.
هڪ ڍڪ جي طور تي Ransomware
ڊيٽا جي نقصان جي خطري جي سنگينيت کي نظر ۾ رکندي، هر سال وڌيڪ ۽ وڌيڪ ڪمپنيون "آفت جي بحالي واري منصوبي" کي لاڳو ڪن ٿيون. انهي جي مهرباني، انهن کي انڪرپٽ ٿيل ڊيٽا بابت گهڻو پريشان ٿيڻ جي ضرورت ناهي، ۽ Ransomware حملي جي صورت ۾، اهي تاوان گڏ ڪرڻ شروع نه ڪندا آهن، پر وصولي جو عمل شروع ڪندا آهن. پر حملي آور به نه سمهندا آهن. Ransomware جي آڙ ۾، وڏي ڊيٽا چوري ٿئي ٿي. Maze 2019 ۾ اهڙيون حڪمت عمليون استعمال ڪرڻ وارو پهريون ماڻهو هو، جيتوڻيڪ ٻيا گروپ وقتي طور تي گڏيل حملا ڪندا هئا. هاڻي، گهٽ ۾ گهٽ Sodinokibi، Netfilm، Nemty، Netwalker، Ragnar، Psya، DoppelPaymer، CLOP، AKO ۽ Sekhmet ڊيٽا چوري ۾ مصروف آهن انڪرپشن سان گڏ.
ڪڏهن ڪڏهن حملو ڪندڙ هڪ ڪمپني مان ڏهه ٽيرا بائيٽ ڊيٽا کي ڇڪڻ جو انتظام ڪن ٿا، جيڪو نيٽ ورڪ مانيٽرنگ ٽولز (جيڪڏهن اهي نصب ۽ ترتيب ڏنل هجي ها) ذريعي ڳولي سگهجن ها. آخرڪار، اڪثر ڊيٽا جي منتقلي صرف FTP، Putty، WinSCP يا PowerShell اسڪرپٽ استعمال ڪندي ٿيندي آهي. DLP ۽ نيٽ ورڪ مانيٽرنگ سسٽم تي قابو پائڻ لاءِ، ڊيٽا انڪريپٽ ٿي سگهي ٿي يا پاسورڊ محفوظ ٿيل آرڪائيو جي طور تي موڪلي سگهجي ٿي، سيڪيورٽي ٽيمن لاءِ هڪ نئون چيلنج جن کي اهڙي فائلن لاءِ ٻاهر وڃڻ واري ٽرئفڪ کي چيڪ ڪرڻ جي ضرورت آهي.
infostealers جي رويي جو مطالعو ڏيکاري ٿو ته حملو ڪندڙ سڀ ڪجهه گڏ نه ڪندا آهن - اهي صرف مالي رپورٽن، ڪلائنٽ ڊيٽابيس، ملازمن ۽ مراجعين جي ذاتي ڊيٽا، معاهدي، رڪارڊ، ۽ قانوني دستاويزن ۾ دلچسپي وٺندا آهن. مالويئر ڪنهن به معلومات لاءِ ڊرائيو اسڪين ڪري ٿو جيڪا نظرياتي طور تي بليڪ ميل لاءِ استعمال ٿي سگهي ٿي.
جيڪڏهن اهڙو حملو ڪامياب ٿئي ٿو، حملو ڪندڙ عام طور تي هڪ ننڍڙو ٽيزر شايع ڪندا آهن، ڪيترن ئي دستاويزن کي ڏيکاريندا آهن انهي جي تصديق ڪن ٿا ته ڊيٽا تنظيم کان لڪي وئي آهي. ۽ ڪجھ گروپ پنھنجي ويب سائيٽ تي مڪمل ڊيٽا سيٽ شايع ڪندا آھن جيڪڏھن تاوان ادا ڪرڻ جو وقت ختم ٿي چڪو آھي. بلاڪنگ کان بچڻ ۽ وسيع ڪوريج کي يقيني بڻائڻ لاء، ڊيٽا پڻ TOR نيٽ ورڪ تي شايع ٿيل آهي.
رقم حاصل ڪرڻ جو هڪ ٻيو طريقو ڊيٽا وڪرو ڪرڻ آهي. مثال طور، Sodinokibi تازو اعلان ڪيو کليل نيلامي جنهن ۾ ڊيٽا سڀ کان وڌيڪ بوليندڙ ڏانهن وڃي ٿي. ڊيٽا جي معيار ۽ مواد جي لحاظ کان اهڙي واپار جي شروعاتي قيمت $50-100K آهي. مثال طور، 10 نقد وهڪري جي رڪارڊن جو هڪ سيٽ، رازداري ڪاروباري ڊيٽا ۽ اسڪين ٿيل ڊرائيور جي لائسنس جو وڪرو گهٽ ۾ گهٽ $000 ۾. ۽ $100 لاءِ هڪ خريد ڪري سگهي ٿو 000 کان وڌيڪ مالي دستاويزن ۽ اڪائونٽنگ فائلن جا ٽي ڊيٽابيس ۽ ڪسٽمر ڊيٽا.
سائيٽون جتي ليڪ شايع ٿيل آهن وڏي پيماني تي. ھي ھڪڙو سادو صفحو ٿي سگھي ٿو جنھن تي چوري ٿيل ھر شيء کي صرف پوسٽ ڪيو ويو آھي، پر سيڪشن ۽ خريداري جي امڪان سان گڏ وڌيڪ پيچيده جوڙجڪ پڻ آھن. پر بنيادي شيء اها آهي ته اهي سڀ هڪ ئي مقصد جي خدمت ڪن ٿا - حملي ڪندڙن کي حقيقي پئسا حاصل ڪرڻ جا موقعا وڌائڻ لاء. جيڪڏهن هي ڪاروباري ماڊل حملو ڪندڙن لاءِ سٺا نتيجا ڏيکاري ٿو، ان ۾ ڪو شڪ ناهي ته اتي اڃا به وڌيڪ ساڳيون سائيٽون هونديون، ۽ ڪارپوريٽ ڊيٽا چوري ڪرڻ ۽ رقم ڪرڻ جي ٽيڪنالاجي کي وڌيڪ وڌايو ويندو.
ھي اھو آھي جيڪو موجوده سائيٽون جيڪي شايع ڪن ٿيون ڊيٽا ليڪ جھڙا آھن:
نون حملن سان ڇا ڪجي
هن ماحول ۾ سيڪيورٽي ٽيمن لاءِ بنيادي چئلينج اهو آهي ته تازو ئي Ransomware سان لاڳاپيل وڌيڪ ۽ وڌيڪ واقعا ڊيٽا چوري کان صرف هڪ خلفشار ثابت ٿيا. حملو ڪندڙ هاڻي صرف سرور جي انڪرپشن تي ڀروسو نٿا ڪن. ان جي برعڪس، بنيادي مقصد هڪ ليکڪ کي منظم ڪرڻ آهي جڏهن توهان ransomware سان وڙهندا آهيو.
اهڙيء طرح، اڪيلو هڪ بيڪ اپ سسٽم استعمال ڪندي، جيتوڻيڪ هڪ سٺي بحالي واري منصوبي سان، گهڻن سطحي خطرن کي منهن ڏيڻ لاء ڪافي ناهي. نه، يقينا، توهان بغير بيڪ اپ ڪاپي جي بغير نٿا ڪري سگهو، ڇو ته حملو ڪندڙ ضرور ضرور ڪوشش ڪندا ته ڪجهه انڪرپٽ ڪرڻ ۽ تاوان لاء پڇو. نقطي بلڪه اهو آهي ته هاڻي Ransomware استعمال ڪندي هر حملي کي ٽرئفڪ جي جامع تجزيو ۽ ممڪن حملي جي تحقيقات شروع ڪرڻ جو هڪ سبب سمجهيو وڃي. توهان کي اضافي حفاظتي خاصيتن بابت پڻ سوچڻ گهرجي جيڪي ڪري سگھن ٿيون:
- جلدي حملن کي ڳوليو ۽ AI استعمال ڪندي غير معمولي نيٽ ورڪ سرگرمي جو تجزيو ڪريو
- صفر-ڏينهن Ransomware حملن مان سسٽم کي فوري طور تي بحال ڪريو ته جيئن توهان نيٽ ورڪ سرگرمي مانيٽر ڪري سگهو ٿا
- ڪارپوريٽ نيٽ ورڪ تي کلاسک مالويئر ۽ نئين قسم جي حملن جي پکيڙ کي بلاڪ ڪريو
- موجوده ڪمزورين ۽ استحصال لاءِ سافٽ ويئر ۽ سسٽم (ريموٽ رسائي سميت) جو تجزيو ڪريو
- ڪارپوريٽ جي دائري کان ٻاهر اڻڄاتل معلومات جي منتقلي کي روڪيو
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. ، توهان جي مهرباني.
ڇا توهان ڪڏهن Ransomware حملي دوران پس منظر جي سرگرمي جو تجزيو ڪيو آهي؟
-
20,0٪ها 1
-
80,0٪نمبر 4
5 صارفين ووٽ ڪيو. 2 استعمال ڪندڙن کي روڪيو ويو.
جو ذريعو: www.habr.com