Ransomware అనేది డేటా లీక్‌లను నిర్వహించడానికి ఒక కొత్త మార్గం

డేటా లీక్‌లు భద్రతా సేవలకు ఇబ్బందికరమైన అంశం. మరియు ఇప్పుడు చాలా మంది ప్రజలు ఇంటి నుండి పని చేస్తున్నారు, లీక్‌ల ప్రమాదం చాలా ఎక్కువ. అందుకే ప్రసిద్ధ సైబర్‌క్రిమినల్ గ్రూపులు కాలం చెల్లిన మరియు తగినంత సురక్షితమైన రిమోట్ యాక్సెస్ ప్రోటోకాల్‌లపై ఎక్కువ శ్రద్ధ చూపుతున్నాయి. మరియు, ఆసక్తికరంగా, నేడు మరిన్ని డేటా లీక్‌లు Ransomwareతో అనుబంధించబడ్డాయి. ఎలా, ఎందుకు మరియు ఏ విధంగా - కట్ కింద చదవండి.

ransomware అభివృద్ధి మరియు పంపిణీ చాలా లాభదాయకమైన క్రిమినల్ వ్యాపారం అనే వాస్తవంతో ప్రారంభిద్దాం. ఉదాహరణకు, అమెరికన్ FBI ప్రకారం, సోడినోకిబి సమూహం గత సంవత్సరంలో, ఆమె నెలకు సుమారు $1 మిలియన్ సంపాదించింది. మరియు ర్యుక్‌ను ఉపయోగించిన దాడి చేసేవారు ఇంకా ఎక్కువ పొందారు - సమూహం యొక్క కార్యకలాపాల ప్రారంభంలో, వారి ఆదాయం నెలకు $ 3 మిలియన్లు. కాబట్టి చాలా మంది చీఫ్ ఇన్ఫర్మేషన్ సెక్యూరిటీ ఆఫీసర్లు (CISOలు) ransomwareని వారి మొదటి ఐదు వ్యాపార ప్రమాదాలలో ఒకటిగా పేర్కొనడంలో ఆశ్చర్యం లేదు.

సింగపూర్‌లో ఉన్న అక్రోనిస్ సైబర్ ప్రొటెక్షన్ ఆపరేషన్ సెంటర్ (CPOC), Ransomware ప్రాంతంలో సైబర్ నేరాల పెరుగుదలను నిర్ధారిస్తుంది. మే రెండవ భాగంలో, ప్రపంచవ్యాప్తంగా సాధారణం కంటే 20% ఎక్కువ ransomware బ్లాక్ చేయబడింది. స్వల్ప క్షీణత తర్వాత, ఇప్పుడు జూన్‌లో మేము మళ్లీ కార్యాచరణలో పెరుగుదలను చూస్తున్నాము. మరియు దీనికి అనేక కారణాలు ఉన్నాయి.

బాధితుడి కంప్యూటర్‌లోకి వెళ్లండి

భద్రతా సాంకేతికతలు అభివృద్ధి చెందుతున్నాయి మరియు దాడి చేసేవారు నిర్దిష్ట వ్యవస్థలోకి ప్రవేశించడానికి వారి వ్యూహాలను కొంతవరకు మార్చుకోవాలి. టార్గెటెడ్ రాన్సమ్‌వేర్ దాడులు చక్కగా రూపొందించబడిన ఫిషింగ్ ఇమెయిల్‌ల ద్వారా (సోషల్ ఇంజనీరింగ్‌తో సహా) వ్యాప్తి చెందుతూనే ఉన్నాయి. అయితే, ఇటీవల, మాల్వేర్ డెవలపర్లు రిమోట్ వర్కర్లపై చాలా శ్రద్ధ చూపుతున్నారు. వారిపై దాడి చేయడానికి, మీరు RDP వంటి పేలవమైన రక్షిత రిమోట్ యాక్సెస్ సేవలను కనుగొనవచ్చు లేదా దుర్బలత్వం ఉన్న VPN సర్వర్‌లను కనుగొనవచ్చు.
వారు చేసేది ఇదే. డార్క్‌నెట్‌లో ransomware-as-a-services కూడా ఉన్నాయి, ఇవి మీరు ఎంచుకున్న సంస్థ లేదా వ్యక్తిపై దాడి చేయడానికి అవసరమైన ప్రతిదాన్ని అందిస్తాయి.

దాడి చేసేవారు కార్పొరేట్ నెట్‌వర్క్‌లోకి చొచ్చుకుపోవడానికి మరియు వారి దాడి స్పెక్ట్రమ్‌ను విస్తరించడానికి ఏదైనా మార్గం కోసం చూస్తున్నారు. ఈ విధంగా, సర్వీస్ ప్రొవైడర్ల నెట్‌వర్క్‌లను ప్రభావితం చేసే ప్రయత్నాలు జనాదరణ పొందిన ధోరణిగా మారాయి. క్లౌడ్ సేవలు నేడు జనాదరణ పొందుతున్నందున, జనాదరణ పొందిన సేవ యొక్క ఇన్‌ఫెక్షన్ ఒకేసారి డజన్ల కొద్దీ లేదా వందలాది మంది బాధితులపై దాడి చేయడం సాధ్యపడుతుంది.

వెబ్ ఆధారిత భద్రతా నిర్వహణ లేదా బ్యాకప్ కన్సోల్‌లు రాజీ పడినట్లయితే, దాడి చేసేవారు రక్షణను నిలిపివేయవచ్చు, బ్యాకప్‌లను తొలగించవచ్చు మరియు సంస్థ అంతటా వారి మాల్వేర్ వ్యాప్తి చెందడానికి అనుమతించవచ్చు. మార్గం ద్వారా, నిపుణులు బహుళ-కారకాల ప్రమాణీకరణను ఉపయోగించి అన్ని సేవా ఖాతాలను జాగ్రత్తగా రక్షించాలని సిఫార్సు చేస్తున్నారు. ఉదాహరణకు, అన్ని అక్రోనిస్ క్లౌడ్ సేవలు డబుల్ ప్రొటెక్షన్‌ను ఇన్‌స్టాల్ చేయడానికి మిమ్మల్ని అనుమతిస్తాయి, ఎందుకంటే మీ పాస్‌వర్డ్ రాజీపడి ఉంటే, దాడి చేసేవారు సమగ్ర సైబర్ రక్షణ వ్యవస్థను ఉపయోగించడం వల్ల కలిగే అన్ని ప్రయోజనాలను తిరస్కరించవచ్చు.

దాడి స్పెక్ట్రమ్‌ను విస్తరిస్తోంది

ప్రతిష్టాత్మకమైన లక్ష్యాన్ని సాధించినప్పుడు మరియు మాల్వేర్ ఇప్పటికే కార్పొరేట్ నెట్‌వర్క్‌లో ఉన్నప్పుడు, మరింత వ్యాప్తి కోసం చాలా ప్రామాణిక వ్యూహాలు సాధారణంగా ఉపయోగించబడతాయి. దాడి చేసేవారు పరిస్థితిని అధ్యయనం చేస్తారు మరియు బెదిరింపులను ఎదుర్కోవడానికి కంపెనీలో సృష్టించబడిన అడ్డంకులను అధిగమించడానికి ప్రయత్నిస్తారు. దాడి యొక్క ఈ భాగం మానవీయంగా జరుగుతుంది (అన్ని తరువాత, వారు ఇప్పటికే నెట్‌లో పడిపోయినట్లయితే, అప్పుడు ఎర హుక్లో ఉంది!). దీని కోసం, PowerShell, WMI PsExec, అలాగే కొత్త కోబాల్ట్ స్ట్రైక్ ఎమ్యులేటర్ మరియు ఇతర వినియోగాలు వంటి ప్రసిద్ధ సాధనాలు ఉపయోగించబడతాయి. కొన్ని నేర సమూహాలు ప్రత్యేకంగా కార్పొరేట్ నెట్‌వర్క్‌లోకి ప్రవేశించడానికి పాస్‌వర్డ్ నిర్వాహకులను లక్ష్యంగా చేసుకుంటాయి. మరియు రాగ్నార్ వంటి మాల్వేర్ ఇటీవల వర్చువల్‌బాక్స్ వర్చువల్ మెషీన్ యొక్క పూర్తిగా మూసివేయబడిన ఇమేజ్‌లో కనిపించింది, ఇది మెషీన్‌లో విదేశీ సాఫ్ట్‌వేర్ ఉనికిని దాచడంలో సహాయపడుతుంది.

అందువల్ల, మాల్వేర్ కార్పొరేట్ నెట్‌వర్క్‌లోకి ప్రవేశించిన తర్వాత, అది వినియోగదారు యాక్సెస్ స్థాయిని తనిఖీ చేయడానికి మరియు దొంగిలించబడిన పాస్‌వర్డ్‌లను ఉపయోగించడానికి ప్రయత్నిస్తుంది. మిమికాట్జ్ మరియు బ్లడ్‌హౌండ్ & కో వంటి యుటిలిటీలు. డొమైన్ అడ్మినిస్ట్రేటర్ ఖాతాలను హ్యాక్ చేయడంలో సహాయపడండి. మరియు దాడి చేసే వ్యక్తి పంపిణీ ఎంపికలు అయిపోయినట్లు భావించినప్పుడు మాత్రమే, ransomware నేరుగా క్లయింట్ సిస్టమ్‌లకు డౌన్‌లోడ్ చేయబడుతుంది.

కవర్‌గా Ransomware

డేటా నష్టం యొక్క ముప్పు యొక్క తీవ్రత కారణంగా, ప్రతి సంవత్సరం మరిన్ని కంపెనీలు "విపత్తు పునరుద్ధరణ ప్రణాళిక" అని పిలవబడే వాటిని అమలు చేస్తాయి. దీనికి ధన్యవాదాలు, వారు ఎన్‌క్రిప్టెడ్ డేటా గురించి పెద్దగా ఆందోళన చెందాల్సిన అవసరం లేదు మరియు Ransomware దాడి జరిగినప్పుడు, వారు విమోచనను సేకరించడం ప్రారంభించరు, కానీ రికవరీ ప్రక్రియను ప్రారంభిస్తారు. కానీ దాడి చేసినవారు నిద్రపోరు. Ransomware ముసుగులో భారీ డేటా చౌర్యం జరుగుతుంది. ఇతర సమూహాలు క్రమానుగతంగా దాడులను కలిపినప్పటికీ, 2019లో ఇటువంటి వ్యూహాలను సామూహికంగా ఉపయోగించిన మొదటి వ్యక్తి మేజ్. ఇప్పుడు, కనీసం Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO మరియు Sekhmet గుప్తీకరణకు సమాంతరంగా డేటా దొంగతనంలో నిమగ్నమై ఉన్నాయి.

కొన్నిసార్లు దాడి చేసేవారు కంపెనీ నుండి పదుల సంఖ్యలో టెరాబైట్‌ల డేటాను సైఫన్ చేయగలరు, ఇది నెట్‌వర్క్ మానిటరింగ్ సాధనాల ద్వారా కనుగొనబడి ఉండవచ్చు (అవి ఇన్‌స్టాల్ చేయబడి మరియు కాన్ఫిగర్ చేయబడి ఉంటే). అన్నింటికంటే, FTP, పుట్టీ, WinSCP లేదా పవర్‌షెల్ స్క్రిప్ట్‌లను ఉపయోగించి చాలా తరచుగా డేటా బదిలీ జరుగుతుంది. DLP మరియు నెట్‌వర్క్ మానిటరింగ్ సిస్టమ్‌లను అధిగమించడానికి, డేటాను ఎన్‌క్రిప్ట్ చేయవచ్చు లేదా పాస్‌వర్డ్-రక్షిత ఆర్కైవ్‌గా పంపవచ్చు, అటువంటి ఫైల్‌ల కోసం అవుట్‌గోయింగ్ ట్రాఫిక్‌ని తనిఖీ చేయాల్సిన భద్రతా బృందాలకు ఇది కొత్త సవాలు.

ఇన్ఫోస్టీలర్ల ప్రవర్తనను అధ్యయనం చేయడం దాడి చేసేవారు అన్నింటినీ సేకరించరని చూపిస్తుంది - వారు ఆర్థిక నివేదికలు, క్లయింట్ డేటాబేస్‌లు, ఉద్యోగులు మరియు క్లయింట్ల వ్యక్తిగత డేటా, ఒప్పందాలు, రికార్డులు మరియు చట్టపరమైన పత్రాలపై మాత్రమే ఆసక్తి కలిగి ఉంటారు. బ్లాక్‌మెయిల్ కోసం సిద్ధాంతపరంగా ఉపయోగించబడే ఏదైనా సమాచారం కోసం మాల్వేర్ డ్రైవ్‌లను స్కాన్ చేస్తుంది.
అటువంటి దాడి విజయవంతమైతే, దాడి చేసేవారు సాధారణంగా చిన్న టీజర్‌ను ప్రచురిస్తారు, సంస్థ నుండి డేటా లీక్ అయిందని నిర్ధారించే అనేక పత్రాలను చూపుతుంది. విమోచన క్రయధనం చెల్లించే సమయం ఇప్పటికే ముగిసిపోయినట్లయితే మరియు కొన్ని సమూహాలు తమ వెబ్‌సైట్‌లో సెట్ చేసిన మొత్తం డేటాను ప్రచురిస్తాయి. నిరోధించడాన్ని నివారించడానికి మరియు విస్తృత కవరేజీని నిర్ధారించడానికి, డేటా TOR నెట్‌వర్క్‌లో కూడా ప్రచురించబడుతుంది.

డబ్బు ఆర్జించడానికి మరొక మార్గం డేటాను అమ్మడం. ఉదాహరణకు, Sodinokibi ఇటీవల బహిరంగ వేలం ప్రకటించింది, దీనిలో డేటా అత్యధిక బిడ్డర్‌కు వెళుతుంది. డేటా యొక్క నాణ్యత మరియు కంటెంట్ ఆధారంగా అటువంటి ట్రేడ్‌ల ప్రారంభ ధర $50-100K. ఉదాహరణకు, 10 నగదు ప్రవాహ రికార్డులు, గోప్యమైన వ్యాపార డేటా మరియు స్కాన్ చేసిన డ్రైవింగ్ లైసెన్స్‌లు $000 కంటే తక్కువగా విక్రయించబడ్డాయి. మరియు $100కి 000 కంటే ఎక్కువ ఆర్థిక పత్రాలను మరియు అకౌంటింగ్ ఫైల్‌లు మరియు కస్టమర్ డేటా యొక్క మూడు డేటాబేస్‌లను కొనుగోలు చేయవచ్చు.

లీక్‌లు ప్రచురించబడే సైట్‌లు విస్తృతంగా మారుతూ ఉంటాయి. ఇది దొంగిలించబడిన ప్రతిదీ కేవలం పోస్ట్ చేయబడిన ఒక సాధారణ పేజీ కావచ్చు, కానీ విభాగాలు మరియు కొనుగోలు చేసే అవకాశంతో మరింత క్లిష్టమైన నిర్మాణాలు కూడా ఉన్నాయి. కానీ ప్రధాన విషయం ఏమిటంటే, అవన్నీ ఒకే ప్రయోజనాన్ని అందిస్తాయి - దాడి చేసేవారికి నిజమైన డబ్బు వచ్చే అవకాశాలను పెంచడం. ఈ బిజినెస్ మోడల్ అటాకర్‌లకు మంచి ఫలితాలను చూపితే, ఇలాంటి సైట్‌లు మరెన్నో ఉంటాయని మరియు కార్పొరేట్ డేటాను దొంగిలించడం మరియు డబ్బు ఆర్జించే పద్ధతులు మరింత విస్తరించబడతాయనడంలో సందేహం లేదు.

డేటా లీక్‌లను ప్రచురించే ప్రస్తుత సైట్‌లు ఇలా ఉన్నాయి:

కొత్త దాడులతో ఏమి చేయాలి

ఈ వాతావరణంలో భద్రతా బృందాలకు ప్రధాన సవాలు ఏమిటంటే, ఇటీవల రాన్సమ్‌వేర్‌కు సంబంధించిన మరిన్ని సంఘటనలు డేటా చౌర్యం నుండి పరధ్యానంగా మారాయి. దాడి చేసేవారు ఇకపై సర్వర్ ఎన్‌క్రిప్షన్‌పై మాత్రమే ఆధారపడరు. దీనికి విరుద్ధంగా, మీరు ransomwareతో పోరాడుతున్నప్పుడు లీక్‌ను నిర్వహించడం ప్రధాన లక్ష్యం.

అందువల్ల, బహుళ-లేయర్డ్ బెదిరింపులను ఎదుర్కోవడానికి మంచి రికవరీ ప్లాన్‌తో కూడా బ్యాకప్ సిస్టమ్‌ను ఉపయోగించడం సరిపోదు. లేదు, వాస్తవానికి, మీరు బ్యాకప్ కాపీలు లేకుండా చేయలేరు, ఎందుకంటే దాడి చేసేవారు ఖచ్చితంగా ఏదైనా గుప్తీకరించడానికి ప్రయత్నిస్తారు మరియు విమోచన కోసం అడుగుతారు. విషయం ఏమిటంటే, ఇప్పుడు Ransomwareని ఉపయోగించే ప్రతి దాడిని ట్రాఫిక్‌ను సమగ్రంగా విశ్లేషించడానికి మరియు సాధ్యమయ్యే దాడిపై దర్యాప్తు ప్రారంభించడానికి ఒక కారణంగా పరిగణించాలి. మీరు అదనపు భద్రతా లక్షణాల గురించి కూడా ఆలోచించాలి:

• దాడులను త్వరగా గుర్తించండి మరియు AIని ఉపయోగించి అసాధారణ నెట్‌వర్క్ కార్యాచరణను విశ్లేషించండి
• జీరో-డే Ransomware దాడుల నుండి సిస్టమ్‌లను తక్షణమే పునరుద్ధరించండి, తద్వారా మీరు నెట్‌వర్క్ కార్యాచరణను పర్యవేక్షించవచ్చు
• కార్పొరేట్ నెట్‌వర్క్‌పై క్లాసిక్ మాల్వేర్ మరియు కొత్త రకాల దాడుల వ్యాప్తిని నిరోధించండి
• ప్రస్తుత దుర్బలత్వాలు మరియు దోపిడీల కోసం సాఫ్ట్‌వేర్ మరియు సిస్టమ్‌లను (రిమోట్ యాక్సెస్‌తో సహా) విశ్లేషించండి
• కార్పొరేట్ చుట్టుకొలత దాటి గుర్తించబడని సమాచారం బదిలీని నిరోధించండి

నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. సైన్ ఇన్ చేయండిదయచేసి.

Ransomware దాడి సమయంలో మీరు ఎప్పుడైనా బ్యాక్‌గ్రౌండ్ యాక్టివిటీని విశ్లేషించారా?

• 20,0%అవును 1

• 80,0%No4

5 మంది వినియోగదారులు ఓటు వేశారు. 2 వినియోగదారులు దూరంగా ఉన్నారు.

మూలం: www.habr.com