දත්ත කාන්දු වීම ආරක්ෂක සේවා සඳහා වේදනාකාරී කරුණකි. දැන් බොහෝ මිනිසුන් නිවසේ සිට වැඩ කරන බැවින්, කාන්දු වීමේ අවදානම බෙහෙවින් වැඩි ය. සුප්රසිද්ධ සයිබර් අපරාධ කණ්ඩායම් යල් පැන ගිය සහ ප්රමාණවත් නොවන දුරස්ථ ප්රවේශ ප්රොටෝකෝල කෙරෙහි වැඩි අවධානයක් යොමු කරන්නේ එබැවිනි. තවද, සිත්ගන්නා කරුණ නම්, අද දින වැඩි වැඩියෙන් දත්ත කාන්දුවීම් Ransomware සමඟ සම්බන්ධ වී ඇත. කෙසේද, ඇයි සහ කුමන ආකාරයෙන්ද - කප්පාදුව යටතේ කියවන්න.
Ransomware සංවර්ධනය කිරීම සහ බෙදා හැරීම ඉතා ලාභදායී අපරාධ ව්යාපාරයක් බව අපි ආරම්භ කරමු. උදාහරණයක් ලෙස, ඇමරිකානු FBI වලට අනුව, පසුගිය වසර පුරා ඇය මසකට ඩොලර් මිලියනයක් පමණ උපයා ඇත. Ryuk භාවිතා කළ ප්රහාරකයින්ට ඊටත් වඩා ලැබුණි - කණ්ඩායමේ ක්රියාකාරකම් ආරම්භයේදී ඔවුන්ගේ ආදායම මසකට ඩොලර් මිලියන 1 ක් විය. එබැවින් බොහෝ ප්රධාන තොරතුරු ආරක්ෂක නිලධාරීන් (CISOs) ඔවුන්ගේ ප්රධාන ව්යාපාරික අවදානම් පහෙන් එකක් ලෙස ransomware ලැයිස්තුගත කිරීම පුදුමයක් නොවේ.
සිංගප්පූරුවේ පිහිටා ඇති Acronis Cyber Protection Operation Center (CPOC), Ransomware ප්රදේශයේ සයිබර් අපරාධවල වැඩිවීමක් තහවුරු කරයි. මැයි දෙවන භාගයේදී, වෙනදාට වඩා 20% වැඩි ransomware ලොව පුරා අවහිර විය. සුළු පරිහානියකට පසු, දැන් ජුනි මාසයේදී අපි නැවතත් ක්රියාකාරකම්වල වැඩි වීමක් දක්නට ලැබේ. තවද මේ සඳහා හේතු කිහිපයක් තිබේ.
වින්දිතයාගේ පරිගණකයට යන්න
ආරක්ෂක තාක්ෂණයන් දියුණු වෙමින් පවතින අතර, ප්රහාරකයන්ට නිශ්චිත පද්ධතියකට ඇතුළු වීම සඳහා ඔවුන්ගේ උපක්රම තරමක් වෙනස් කිරීමට සිදුවේ. ඉලක්කගත Ransomware ප්රහාර හොඳින් සැලසුම් කරන ලද තතුබෑම් ඊමේල් (සමාජ ඉංජිනේරු විද්යාව ඇතුළුව) හරහා දිගටම ව්යාප්ත වේ. කෙසේ වෙතත්, මෑතකදී, අනිෂ්ට මෘදුකාංග සංවර්ධකයින් දුරස්ථ සේවකයින් කෙරෙහි වැඩි අවධානයක් යොමු කර ඇත. ඒවාට පහර දීමට, ඔබට RDP වැනි දුර්වල ආරක්ෂිත දුරස්ථ ප්රවේශ සේවා, හෝ දුර්වලතා සහිත VPN සේවාදායක සොයා ගත හැක.
ඔවුන් කරන්නේ මෙයයි. තෝරාගත් සංවිධානයකට හෝ පුද්ගලයෙකුට පහර දීමට ඔබට අවශ්ය සියල්ල සපයන ransomware-as-a-services පවා Darknet මත ඇත.
ප්රහාරකයින් ආයතනික ජාලයකට විනිවිද යාමට සහ ඔවුන්ගේ ප්රහාරක වර්ණාවලිය පුළුල් කිරීමට ඕනෑම ක්රමයක් සොයමින් සිටිති. මේ අනුව, සේවා සපයන්නන්ගේ ජාලයන් ආසාදනය කිරීමට උත්සාහ කිරීම ජනප්රිය ප්රවණතාවයක් බවට පත්ව ඇත. වලාකුළු සේවා අද ජනප්රිය වෙමින් පවතින බැවින්, ජනප්රිය සේවාවක් ආසාදනය වීමෙන් එකවර දුසිම් ගනනකට හෝ සියගණනකට ගොදුරු වූවන්ට පවා පහර දීමට හැකි වේ.
වෙබ් පාදක ආරක්ෂණ කළමනාකරණය හෝ උපස්ථ කොන්සෝල අවදානමට ලක්වුවහොත්, ප්රහාරකයින්ට ආරක්ෂාව අබල කිරීමට, උපස්ථ මකා දැමීමට සහ ඔවුන්ගේ අනිෂ්ට මෘදුකාංග සංවිධානය පුරා පැතිරීමට ඉඩ දිය හැකිය. මාර්ගය වන විට, බහු සාධක සත්යාපනය භාවිතයෙන් සියලුම සේවා ගිණුම් ප්රවේශමෙන් ආරක්ෂා කිරීමට විශේෂඥයින් නිර්දේශ කරන්නේ එබැවිනි. උදාහරණයක් ලෙස, සියලුම Acronis ක්ලවුඩ් සේවාවන් ඔබට ද්විත්ව ආරක්ෂාවක් ස්ථාපනය කිරීමට ඉඩ සලසයි, මන්ද ඔබේ මුරපදය අවදානමට ලක්වුවහොත්, ප්රහාරකයන්ට පුළුල් සයිබර් ආරක්ෂණ පද්ධතියක් භාවිතා කිරීමේ සියලු ප්රතිලාභ ප්රතික්ෂේප කළ හැකිය.
ප්රහාරක වර්ණාවලිය පුළුල් කිරීම
ආදරණීය ඉලක්කය සපුරා ගත් විට සහ අනිෂ්ට මෘදුකාංග දැනටමත් ආයතනික ජාලය තුළ ඇති විට, වැඩිදුර බෙදා හැරීම සඳහා සාමාන්යයෙන් තරමක් සම්මත උපක්රම භාවිතා වේ. ප්රහාරකයන් තත්ත්වය අධ්යයනය කරන අතර තර්ජනවලට මුහුණ දීම සඳහා සමාගම තුළ නිර්මාණය වී ඇති බාධක ජය ගැනීමට උත්සාහ කරයි. ප්රහාරයේ මෙම කොටස අතින් සිදු විය හැක (සියල්ලට පසු, ඔවුන් දැනටමත් දැලට වැටී තිබේ නම්, ඇමක් කොක්ක මත වේ!). මේ සඳහා, PowerShell, WMI PsExec, මෙන්ම නවතම Cobalt Strike emulator සහ වෙනත් උපයෝගිතා වැනි සුප්රසිද්ධ මෙවලම් භාවිතා වේ. සමහර අපරාධ කණ්ඩායම් විශේෂයෙන් මුරපද කළමනාකරුවන් ආයතනික ජාලයකට ගැඹුරට විනිවිද යාමට ඉලක්ක කරයි. Ragnar වැනි අනිෂ්ට මෘදුකාංග මෑතකදී VirtualBox අතථ්ය යන්ත්රයේ සම්පූර්ණයෙන්ම සංවෘත රූපයක දක්නට ලැබුණි, එය යන්ත්රයේ විදේශීය මෘදුකාංග තිබීම සැඟවීමට උපකාරී වේ.
මේ අනුව, අනිෂ්ට මෘදුකාංග ආයතනික ජාලයට ඇතුළු වූ පසු, එය පරිශීලකයාගේ ප්රවේශ මට්ටම පරීක්ෂා කිරීමට සහ සොරකම් කළ මුරපද භාවිතා කිරීමට උත්සාහ කරයි. Mimikatz සහ Bloodhound & Co වැනි උපයෝගිතා. වසම් පරිපාලක ගිණුම් හැක් කිරීමට උදව් කරන්න. ප්රහාරකයා බෙදා හැරීමේ විකල්පයන් අවසන් වී ඇති බව සලකන විට පමණක්, ransomware සෘජුවම සේවාදායක පද්ධති වෙත බාගත වේ.
Ransomware ආවරණයක් ලෙස
දත්ත අහිමි වීමේ තර්ජනයේ බරපතලකම සැලකිල්ලට ගනිමින්, සෑම වසරකම වැඩි වැඩියෙන් සමාගම් ඊනියා "ආපදා ප්රතිසාධන සැලැස්ම" ක්රියාත්මක කරයි. මෙයට ස්තූතිවන්ත වන්නට, ඔවුන් එන්ක්රිප්ට් කළ දත්ත ගැන වැඩිය කරදර විය යුතු නැති අතර, Ransomware ප්රහාරයකදී, ඔවුන් කප්පම් එකතු කිරීම ආරම්භ නොකර, ප්රතිසාධන ක්රියාවලිය ආරම්භ කරයි. නමුත් ප්රහාරකයන් නිදා ගන්නේද නැත. Ransomware මුවාවෙන් දැවැන්ත දත්ත සොරකමක් සිදුවේ. අනෙකුත් කණ්ඩායම් වරින් වර ප්රහාර ඒකාබද්ධ කළද, 2019 දී විශාල වශයෙන් එවැනි උපක්රම භාවිතා කළ පළමු පුද්ගලයා Maze ය. දැන්, අවම වශයෙන් Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO සහ Sekhmet සංකේතනයට සමාන්තරව දත්ත සොරකමේ යෙදී සිටිති.
සමහර විට ප්රහාරකයින් සමාගමකින් ටෙරාබයිට් දස දහස් ගණනක දත්ත ලබා ගැනීමට සමත් වන අතර, එය ජාල නිරීක්ෂණ මෙවලම් මගින් අනාවරණය කර ගත හැකිව තිබුණි (ඒවා ස්ථාපනය කර වින්යාස කර ඇත්නම්). සියල්ලට පසු, බොහෝ විට දත්ත හුවමාරුව සිදු වන්නේ FTP, Putty, WinSCP හෝ PowerShell ස්ක්රිප්ට් භාවිතා කරමිනි. DLP සහ ජාල නිරීක්ෂණ පද්ධති ජය ගැනීම සඳහා, දත්ත සංකේතනය කිරීමට හෝ මුරපද ආරක්ෂිත ලේඛනාගාරයක් ලෙස යැවීමට හැකිය, එවැනි ගොනු සඳහා පිටතට යන ගමනාගමනය පරීක්ෂා කිරීමට අවශ්ය ආරක්ෂක කණ්ඩායම් සඳහා නව අභියෝගයකි.
Infostealer ගේ හැසිරීම අධ්යයනය කිරීමෙන් පෙනී යන්නේ ප්රහාරකයන් සියල්ල එකතු නොකරන බවයි - ඔවුන් උනන්දු වන්නේ මූල්ය වාර්තා, සේවාදායක දත්ත සමුදායන්, සේවකයින්ගේ සහ ගනුදෙනුකරුවන්ගේ පුද්ගලික දත්ත, කොන්ත්රාත්තු, වාර්තා සහ නීතිමය ලියකියවිලි සඳහා පමණි. අනිෂ්ට මෘදුකාංග න්යායාත්මකව බ්ලැක්මේල් සඳහා භාවිතා කළ හැකි ඕනෑම තොරතුරක් සඳහා ධාවක පරිලෝකනය කරයි.
එවැනි ප්රහාරයක් සාර්ථක නම්, ප්රහාරකයන් සාමාන්යයෙන් කුඩා ටීසර් එකක් ප්රකාශයට පත් කරයි, සංවිධානයෙන් දත්ත කාන්දු වී ඇති බව සනාථ කරන ලියකියවිලි කිහිපයක් පෙන්වයි. කප්පම් ගෙවීමේ කාලය දැනටමත් කල් ඉකුත් වී ඇත්නම් සමහර කණ්ඩායම් ඔවුන්ගේ වෙබ් අඩවියේ සම්පූර්ණ දත්ත ප්රකාශයට පත් කරයි. අවහිර කිරීම වැළැක්වීම සහ පුළුල් ආවරණයක් සහතික කිරීම සඳහා, දත්ත TOR ජාලයේ ද ප්රකාශයට පත් කෙරේ.
මුදල් ඉපැයීමට තවත් ක්රමයක් වන්නේ දත්ත විකිණීමයි. උදාහරණයක් ලෙස, Sodinokibi මෑතකදී විවෘත වෙන්දේසි නිවේදනය කරන ලද අතර එහිදී දත්ත වැඩිම ලංසුකරු වෙත යයි. එවැනි වෙළඳාම් සඳහා ආරම්භක මිල දත්තවල ගුණාත්මකභාවය සහ අන්තර්ගතය අනුව ඩොලර් 50-100K වේ. උදාහරණයක් ලෙස, මුදල් ප්රවාහ වාර්තා 10ක්, රහස්ය ව්යාපාර දත්ත සහ ස්කෑන් කරන ලද රියදුරු බලපත්ර $000ක් වැනි සුළු මුදලකට අලෙවි කර ඇත. තවද $100කට මූල්ය ලේඛන 000කට වැඩි ප්රමාණයක් සහ ගිණුම් ගොනු සහ පාරිභෝගික දත්තවල දත්ත සමුදායන් තුනක් මිලදී ගත හැකිය.
කාන්දුවීම් ප්රකාශයට පත් කරන වෙබ් අඩවි පුළුල් ලෙස වෙනස් වේ. මෙය සොරකම් කරන ලද සෑම දෙයක්ම සරලව පළ කර ඇති සරල පිටුවක් විය හැකිය, නමුත් කොටස් සහ මිලදී ගැනීමේ හැකියාව සහිත වඩාත් සංකීර්ණ ව්යුහයන් ද ඇත. නමුත් ප්රධාන දෙය නම් ඔවුන් සියල්ලන්ම එකම අරමුණක් ඉටු කිරීමයි - ප්රහාරකයන්ට සැබෑ මුදල් ලබා ගැනීමේ අවස්ථා වැඩි කිරීම. මෙම ව්යාපාරික ආකෘතිය ප්රහාරකයන් සඳහා හොඳ ප්රතිඵල පෙන්නුම් කරන්නේ නම්, ඊටත් වඩා සමාන වෙබ් අඩවි ඇති බවට සැකයක් නැත, ආයතනික දත්ත සොරකම් කිරීමේ සහ මුදල් ඉපැයීමේ ශිල්පීය ක්රම තවදුරටත් පුළුල් වනු ඇත.
දත්ත කාන්දුවීම් ප්රකාශයට පත් කරන වත්මන් වෙබ් අඩවි පෙනෙන්නේ මෙයයි:
නව ප්රහාරයන් සමඟ කළ යුතු දේ
මෙම තත්ත්වයන් තුළ ආරක්ෂක කණ්ඩායම්වලට ඇති ප්රධානතම අභියෝගය නම් මෑතක සිට Ransomware සම්බන්ධ සිද්ධීන් වැඩි වැඩියෙන් දත්ත සොරකම් කිරීමේ බාධාවක් බවට පත්වීමයි. ප්රහාරකයන් තවදුරටත් සේවාදායක සංකේතනය මත පමණක් රඳා නොපවතී. ඊට පටහැනිව, ප්රධාන ඉලක්කය වන්නේ ඔබ ransomware සමඟ සටන් කරන අතරතුර කාන්දුවක් සංවිධානය කිරීමයි.
මේ අනුව, උපස්ථ පද්ධතියක් පමණක් භාවිතා කිරීම, හොඳ ප්රතිසාධන සැලැස්මක් සමඟ වුවද, බහු-ස්ථර තර්ජන වලට එරෙහිවීමට ප්රමාණවත් නොවේ. නැත, ඇත්ත වශයෙන්ම, ඔබට උපස්ථ පිටපත් නොමැතිව කළ නොහැක, මන්ද ප්රහාරකයින් අනිවාර්යයෙන්ම යමක් සංකේතනය කර කප්පම් ඉල්ලීමට උත්සාහ කරනු ඇත. කාරණය නම්, දැන් Ransomware භාවිතා කරන සෑම ප්රහාරයක්ම ගමනාගමනය පිළිබඳ සවිස්තරාත්මක විශ්ලේෂණයක් සහ සිදුවිය හැකි ප්රහාරයක් පිළිබඳව පරීක්ෂණයක් දියත් කිරීමට හේතුවක් ලෙස සැලකිය යුතුය. ඔබ අතිරේක ආරක්ෂක විශේෂාංග ගැනද සිතා බැලිය යුතුය:
- AI භාවිතයෙන් ප්රහාර ඉක්මනින් හඳුනාගෙන අසාමාන්ය ජාල ක්රියාකාරකම් විශ්ලේෂණය කරන්න
- ශුන්ය-දින Ransomware ප්රහාර වලින් පද්ධති ක්ෂණිකව ප්රතිසාධනය කරන්න එවිට ඔබට ජාල ක්රියාකාරකම් නිරීක්ෂණය කළ හැක
- සම්භාව්ය අනිෂ්ට මෘදුකාංග පැතිරීම සහ ආයතනික ජාලයට නව ආකාරයේ ප්රහාර අවහිර කරන්න
- වත්මන් දුර්වලතා සහ සූරාකෑම් සඳහා මෘදුකාංග සහ පද්ධති (දුරස්ථ ප්රවේශය ඇතුළුව) විශ්ලේෂණය කරන්න
- ආයතනික පරිමිතියෙන් ඔබ්බට හඳුනා නොගත් තොරතුරු මාරු කිරීම වැළැක්වීම
සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි. කරුණාකර.
ඔබ කවදා හෝ Ransomware ප්රහාරයකදී පසුබිම් ක්රියාකාරකම් විශ්ලේෂණය කර තිබේද?
-
20,0%ඔව්1
-
80,0%4
පරිශීලකයින් 5 දෙනෙක් ඡන්දය දුන්හ. පරිශීලකයින් 2 දෙනෙක් ඡන්දය දීමෙන් වැළකී සිටියහ.
මූලාශ්රය: www.habr.com