தரவு கசிவுகள் பாதுகாப்பு சேவைகளுக்கு ஒரு புண் புள்ளியாகும். இப்போது பெரும்பாலான மக்கள் வீட்டிலிருந்து வேலை செய்வதால், கசிவுகளின் ஆபத்து மிக அதிகமாக உள்ளது. அதனால்தான் நன்கு அறியப்பட்ட சைபர் கிரைமினல் குழுக்கள் காலாவதியான மற்றும் போதுமான பாதுகாப்பற்ற தொலைநிலை அணுகல் நெறிமுறைகளில் அதிக கவனம் செலுத்துகின்றன. மேலும், சுவாரஸ்யமாக, இன்று அதிகமான தரவு கசிவுகள் Ransomware உடன் தொடர்புடையவை. எப்படி, ஏன் மற்றும் எந்த வழியில் - வெட்டு கீழ் படிக்க.
Ransomware இன் உருவாக்கம் மற்றும் விநியோகம் மிகவும் இலாபகரமான குற்றவியல் வணிகமாகும் என்ற உண்மையுடன் தொடங்குவோம். உதாரணமாக, அமெரிக்க FBI படி,
சிங்கப்பூரில் அமைந்துள்ள Acronis Cyber Protection Operation Center (CPOC), Ransomware பகுதியில் இணையக் குற்றங்கள் அதிகரித்துள்ளதை உறுதிப்படுத்துகிறது. மே மாதத்தின் இரண்டாம் பாதியில், உலகளவில் வழக்கத்தை விட 20% அதிகமான ransomware தடுக்கப்பட்டது. சிறிது சரிவுக்குப் பிறகு, ஜூன் மாதத்தில் மீண்டும் செயல்பாடு அதிகரிப்பதைக் காண்கிறோம். மேலும் இதற்கு பல காரணங்கள் உள்ளன.
பாதிக்கப்பட்டவரின் கணினியில் ஏறவும்
பாதுகாப்பு தொழில்நுட்பங்கள் உருவாகி வருகின்றன, மேலும் தாக்குபவர்கள் ஒரு குறிப்பிட்ட அமைப்பில் நுழைவதற்கு தங்கள் தந்திரோபாயங்களை ஓரளவு மாற்ற வேண்டும். இலக்கு வைக்கப்பட்ட Ransomware தாக்குதல்கள் நன்கு வடிவமைக்கப்பட்ட ஃபிஷிங் மின்னஞ்சல்கள் (சமூக பொறியியல் உட்பட) மூலம் தொடர்ந்து பரவுகின்றன. இருப்பினும், சமீபத்தில், தீம்பொருள் உருவாக்குநர்கள் தொலைதூர பணியாளர்களுக்கு அதிக கவனம் செலுத்துகின்றனர். அவற்றைத் தாக்க, RDP போன்ற மோசமாகப் பாதுகாக்கப்பட்ட தொலைநிலை அணுகல் சேவைகள் அல்லது பாதிப்புகள் உள்ள VPN சேவையகங்களைக் கண்டறியலாம்.
இதைத்தான் செய்கிறார்கள். டார்க்நெட்டில் ransomware-as-a-services கூட உள்ளன, அவை நீங்கள் தேர்ந்தெடுத்த அமைப்பு அல்லது நபரைத் தாக்கத் தேவையான அனைத்தையும் வழங்குகிறது.
கார்ப்பரேட் நெட்வொர்க்கில் ஊடுருவி தங்கள் தாக்குதல் அலைவரிசையை விரிவுபடுத்துவதற்கான எந்த வழியையும் தாக்குபவர்கள் தேடுகிறார்கள். இதனால், சேவை வழங்குநர்களின் நெட்வொர்க்குகளை பாதிக்கும் முயற்சிகள் ஒரு பிரபலமான போக்காக மாறியுள்ளன. கிளவுட் சேவைகள் இன்று பிரபலமடைந்து வருவதால், பிரபலமான சேவையின் தொற்று ஒரு நேரத்தில் டஜன் கணக்கான அல்லது நூற்றுக்கணக்கான பாதிக்கப்பட்டவர்களைத் தாக்குவதை சாத்தியமாக்குகிறது.
இணைய அடிப்படையிலான பாதுகாப்பு மேலாண்மை அல்லது காப்பு கன்சோல்கள் சமரசம் செய்யப்பட்டால், தாக்குபவர்கள் பாதுகாப்பை முடக்கலாம், காப்புப்பிரதிகளை நீக்கலாம் மற்றும் அவர்களின் தீம்பொருளை நிறுவனம் முழுவதும் பரவ அனுமதிக்கலாம். எனவேதான், பல காரணி அங்கீகாரத்தைப் பயன்படுத்தி அனைத்து சேவைக் கணக்குகளையும் கவனமாகப் பாதுகாக்க வல்லுநர்கள் பரிந்துரைக்கின்றனர். எடுத்துக்காட்டாக, அனைத்து அக்ரோனிஸ் கிளவுட் சேவைகளும் இரட்டைப் பாதுகாப்பை நிறுவ உங்களை அனுமதிக்கின்றன, ஏனெனில் உங்கள் கடவுச்சொல் சமரசம் செய்யப்பட்டால், ஒரு விரிவான இணையப் பாதுகாப்பு முறையைப் பயன்படுத்துவதன் அனைத்து நன்மைகளையும் தாக்குபவர்கள் மறுக்கலாம்.
தாக்குதல் ஸ்பெக்ட்ரம் விரிவாக்கம்
நேசத்துக்குரிய இலக்கை அடைந்து, தீம்பொருள் ஏற்கனவே கார்ப்பரேட் நெட்வொர்க்கிற்குள் இருக்கும்போது, மேலும் பரவுவதற்கு மிகவும் நிலையான தந்திரங்கள் பொதுவாகப் பயன்படுத்தப்படுகின்றன. தாக்குபவர்கள் நிலைமையை ஆய்வு செய்து, அச்சுறுத்தல்களை எதிர்கொள்ள நிறுவனத்திற்குள் உருவாக்கப்பட்ட தடைகளை கடக்க முயற்சி செய்கிறார்கள். தாக்குதலின் இந்த பகுதி கைமுறையாக நிகழலாம் (எல்லாவற்றிற்கும் மேலாக, அவை ஏற்கனவே வலையில் விழுந்திருந்தால், தூண்டில் கொக்கியில் உள்ளது!). இதற்கு, PowerShell, WMI PsExec, அத்துடன் புதிய கோபால்ட் ஸ்ட்ரைக் எமுலேட்டர் மற்றும் பிற பயன்பாடுகள் போன்ற நன்கு அறியப்பட்ட கருவிகள் பயன்படுத்தப்படுகின்றன. சில குற்றவியல் குழுக்கள் குறிப்பாக கார்ப்பரேட் நெட்வொர்க்கில் ஆழமாக ஊடுருவ கடவுச்சொல் நிர்வாகிகளை குறிவைக்கின்றன. Ragnar போன்ற தீம்பொருள் சமீபத்தில் VirtualBox மெய்நிகர் இயந்திரத்தின் முற்றிலும் மூடிய படத்தில் காணப்பட்டது, இது கணினியில் வெளிநாட்டு மென்பொருள் இருப்பதை மறைக்க உதவுகிறது.
எனவே, கார்ப்பரேட் நெட்வொர்க்கில் தீம்பொருள் நுழைந்தவுடன், அது பயனரின் அணுகல் அளவைச் சரிபார்த்து, திருடப்பட்ட கடவுச்சொற்களைப் பயன்படுத்த முயற்சிக்கிறது. Mimikatz மற்றும் Bloodhound & Co போன்ற பயன்பாடுகள். டொமைன் நிர்வாகி கணக்குகளை ஹேக் செய்ய உதவுங்கள். விநியோக விருப்பங்கள் தீர்ந்துவிட்டதாக தாக்குபவர் கருதும் போது மட்டுமே, ransomware நேரடியாக கிளையன்ட் அமைப்புகளுக்கு பதிவிறக்கம் செய்யப்படும்.
Ransomware ஒரு கவர்
தரவு இழப்பு அச்சுறுத்தலின் தீவிரத்தன்மையைக் கருத்தில் கொண்டு, ஒவ்வொரு ஆண்டும் அதிகமான நிறுவனங்கள் "பேரழிவு மீட்பு திட்டம்" என்று அழைக்கப்படுவதை செயல்படுத்துகின்றன. இதற்கு நன்றி, அவர்கள் மறைகுறியாக்கப்பட்ட தரவைப் பற்றி அதிகம் கவலைப்பட வேண்டியதில்லை, மேலும் Ransomware தாக்குதல் ஏற்பட்டால், அவர்கள் மீட்கும் பணத்தை சேகரிக்கத் தொடங்குவதில்லை, ஆனால் மீட்பு செயல்முறையைத் தொடங்குவார்கள். ஆனால் தாக்குபவர்களும் தூங்குவதில்லை. Ransomware என்ற போர்வையில், மிகப்பெரிய தரவு திருட்டு நிகழ்கிறது. பிற குழுக்கள் அவ்வப்போது தாக்குதல்களை இணைத்தாலும், 2019 ஆம் ஆண்டில் இதுபோன்ற தந்திரோபாயங்களை முதன்முதலில் பயன்படுத்தியது பிரமை. இப்போது, குறைந்தபட்சம் Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO மற்றும் Sekhmet ஆகியவை குறியாக்கத்திற்கு இணையாக தரவு திருட்டில் ஈடுபட்டுள்ளன.
சில நேரங்களில் தாக்குதல் நடத்துபவர்கள் ஒரு நிறுவனத்திடமிருந்து பல்லாயிரக்கணக்கான டெராபைட் தரவுகளைப் பெற முடிகிறது, இது நெட்வொர்க் கண்காணிப்பு கருவிகளால் கண்டறியப்பட்டிருக்கும் (அவை நிறுவப்பட்டு கட்டமைக்கப்பட்டிருந்தால்). எல்லாவற்றிற்கும் மேலாக, பெரும்பாலும் தரவு பரிமாற்றம் FTP, Putty, WinSCP அல்லது PowerShell ஸ்கிரிப்ட்களைப் பயன்படுத்தி நிகழ்கிறது. DLP மற்றும் நெட்வொர்க் கண்காணிப்பு அமைப்புகளை சமாளிக்க, தரவுகளை குறியாக்கம் செய்யலாம் அல்லது கடவுச்சொல் பாதுகாக்கப்பட்ட காப்பகமாக அனுப்பலாம், இது போன்ற கோப்புகளுக்கான வெளிச்செல்லும் போக்குவரத்தைச் சரிபார்க்க வேண்டிய பாதுகாப்புக் குழுக்களுக்கு இது ஒரு புதிய சவாலாகும்.
இன்ஃபோஸ்டீலர்களின் நடத்தையைப் படிப்பது, தாக்குபவர்கள் அனைத்தையும் சேகரிக்கவில்லை என்பதைக் காட்டுகிறது - அவர்கள் நிதி அறிக்கைகள், கிளையன்ட் தரவுத்தளங்கள், ஊழியர்கள் மற்றும் வாடிக்கையாளர்களின் தனிப்பட்ட தரவு, ஒப்பந்தங்கள், பதிவுகள் மற்றும் சட்ட ஆவணங்களில் மட்டுமே ஆர்வமாக உள்ளனர். தீம்பொருள் பிளாக்மெயிலுக்கு கோட்பாட்டளவில் பயன்படுத்தக்கூடிய எந்த தகவலுக்கும் டிரைவ்களை ஸ்கேன் செய்கிறது.
அத்தகைய தாக்குதல் வெற்றிகரமாக இருந்தால், தாக்குபவர்கள் வழக்கமாக ஒரு சிறிய டீஸரை வெளியிடுகிறார்கள், இது நிறுவனத்திலிருந்து தரவு கசிந்ததை உறுதிப்படுத்தும் பல ஆவணங்களைக் காட்டுகிறது. மீட்கும் தொகையை செலுத்துவதற்கான நேரம் ஏற்கனவே காலாவதியாகிவிட்டால், சில குழுக்கள் முழுத் தரவையும் தங்கள் இணையதளத்தில் வெளியிடுகின்றன. தடுப்பதைத் தவிர்க்கவும், பரந்த கவரேஜை உறுதி செய்யவும், TOR நெட்வொர்க்கிலும் தரவு வெளியிடப்படுகிறது.
பணமாக்குவதற்கான மற்றொரு வழி, தரவை விற்பனை செய்வதாகும். எடுத்துக்காட்டாக, சோடினோகிபி சமீபத்தில் திறந்த ஏலங்களை அறிவித்தது, அதில் தரவு அதிக ஏலம் எடுத்தவருக்கு செல்கிறது. தரவின் தரம் மற்றும் உள்ளடக்கத்தைப் பொறுத்து இத்தகைய வர்த்தகங்களுக்கான ஆரம்ப விலை $50-100K ஆகும். எடுத்துக்காட்டாக, 10 பணப்புழக்கப் பதிவுகள், ரகசிய வணிகத் தரவு மற்றும் ஸ்கேன் செய்யப்பட்ட ஓட்டுநர் உரிமங்கள் ஆகியவை $000க்கு விற்கப்படுகின்றன. மேலும் $100-க்கு ஒருவர் 000-க்கும் அதிகமான நிதி ஆவணங்கள் மற்றும் கணக்கியல் கோப்புகள் மற்றும் வாடிக்கையாளர் தரவுகளின் மூன்று தரவுத்தளங்களை வாங்கலாம்.
கசிவுகள் வெளியிடப்படும் தளங்கள் பரவலாக வேறுபடுகின்றன. திருடப்பட்ட அனைத்தும் வெறுமனே இடுகையிடப்பட்ட ஒரு எளிய பக்கமாக இது இருக்கலாம், ஆனால் பிரிவுகள் மற்றும் வாங்குவதற்கான சாத்தியக்கூறுகளுடன் மிகவும் சிக்கலான கட்டமைப்புகள் உள்ளன. ஆனால் முக்கிய விஷயம் என்னவென்றால், அவை அனைத்தும் ஒரே நோக்கத்திற்காக சேவை செய்கின்றன - தாக்குபவர்கள் உண்மையான பணத்தைப் பெறுவதற்கான வாய்ப்புகளை அதிகரிக்க. இந்த வணிக மாதிரி தாக்குபவர்களுக்கு நல்ல முடிவுகளைக் காட்டினால், இதே போன்ற தளங்கள் இன்னும் அதிகமாக இருக்கும் என்பதில் சந்தேகமில்லை, மேலும் கார்ப்பரேட் தரவைத் திருடி பணமாக்குவதற்கான நுட்பங்கள் மேலும் விரிவடையும்.
தரவு கசிவுகளை வெளியிடும் தற்போதைய தளங்கள் இப்படித்தான் இருக்கும்:
புதிய தாக்குதல்களை என்ன செய்வது
இந்த நிலைமைகளில் பாதுகாப்பு குழுக்களுக்கு உள்ள முக்கிய சவால் என்னவென்றால், சமீபத்தில் Ransomware தொடர்பான அதிகமான சம்பவங்கள் தரவு திருட்டில் இருந்து வெறுமனே திசைதிருப்பலாக மாறிவிட்டன. தாக்குபவர்கள் இனி சர்வர் என்கிரிப்ஷனை மட்டுமே நம்ப மாட்டார்கள். மாறாக, நீங்கள் ransomware ஐ எதிர்த்துப் போராடும்போது கசிவை ஒழுங்கமைப்பதே முக்கிய குறிக்கோள்.
எனவே, ஒரு நல்ல மீட்புத் திட்டத்துடன் கூட, பல அடுக்கு அச்சுறுத்தல்களை எதிர்கொள்ள, காப்புப் பிரதி அமைப்பை மட்டும் பயன்படுத்துவது போதாது. இல்லை, நிச்சயமாக, காப்பு பிரதிகள் இல்லாமல் நீங்கள் செய்ய முடியாது, ஏனென்றால் தாக்குபவர்கள் நிச்சயமாக எதையாவது குறியாக்கம் செய்து மீட்கும் பணத்தைக் கேட்பார்கள். இப்போது Ransomware ஐப் பயன்படுத்தும் ஒவ்வொரு தாக்குதலும் போக்குவரத்தைப் பற்றிய விரிவான பகுப்பாய்விற்கும் சாத்தியமான தாக்குதலின் விசாரணையைத் தொடங்குவதற்கும் ஒரு காரணமாக கருதப்பட வேண்டும். கூடுதல் பாதுகாப்பு அம்சங்களைப் பற்றியும் நீங்கள் சிந்திக்க வேண்டும்:
- AI ஐப் பயன்படுத்தி தாக்குதல்களை விரைவாகக் கண்டறிந்து அசாதாரண நெட்வொர்க் செயல்பாட்டை பகுப்பாய்வு செய்யுங்கள்
- பூஜ்ஜிய-நாள் Ransomware தாக்குதல்களிலிருந்து கணினிகளை உடனடியாக மீட்டெடுக்கவும், எனவே நீங்கள் பிணைய செயல்பாட்டைக் கண்காணிக்க முடியும்
- கார்ப்பரேட் நெட்வொர்க்கில் கிளாசிக் மால்வேர் மற்றும் புதிய வகையான தாக்குதல்கள் பரவுவதைத் தடுக்கவும்
- தற்போதைய பாதிப்புகள் மற்றும் சுரண்டல்களுக்கான மென்பொருள் மற்றும் அமைப்புகளை (தொலைநிலை அணுகல் உட்பட) பகுப்பாய்வு செய்யுங்கள்
- கார்ப்பரேட் எல்லைக்கு அப்பால் அடையாளம் தெரியாத தகவல் பரிமாற்றத்தைத் தடுக்கவும்
பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும்.
Ransomware தாக்குதலின் போது பின்னணி செயல்பாட்டை நீங்கள் எப்போதாவது பகுப்பாய்வு செய்திருக்கிறீர்களா?
-
20,0%ஆம்1
-
80,0%எண்4
5 பயனர்கள் வாக்களித்தனர். 2 பயனர்கள் வாக்களிக்கவில்லை.
ஆதாரம்: www.habr.com