ڈیٹا لیک سیکورٹی سروسز کے لیے ایک تکلیف دہ مقام ہے۔ اور اب جب کہ زیادہ تر لوگ گھر سے کام کر رہے ہیں، لیک ہونے کا خطرہ بہت زیادہ ہے۔ یہی وجہ ہے کہ معروف سائبر کرائمین گروپ فرسودہ اور ناکافی طور پر محفوظ ریموٹ ایکسیس پروٹوکول پر زیادہ توجہ دے رہے ہیں۔ اور، دلچسپ بات یہ ہے کہ آج کل زیادہ سے زیادہ ڈیٹا لیک ہونے کا تعلق Ransomware سے ہے۔ کس طرح، کیوں اور کس طرح - کٹ کے نیچے پڑھیں.
آئیے اس حقیقت سے آغاز کرتے ہیں کہ رینسم ویئر کی ترقی اور تقسیم اپنے آپ میں ایک بہت منافع بخش مجرمانہ کاروبار ہے۔ مثال کے طور پر، امریکی ایف بی آئی کے مطابق، پچھلے سال کے دوران، اس نے تقریباً $1 ملین فی مہینہ کمایا۔ اور حملہ آور جنہوں نے Ryuk کا استعمال کیا انہیں اس سے بھی زیادہ رقم ملی - گروپ کی سرگرمیوں کے آغاز میں، ان کی آمدنی ماہانہ 3 ملین ڈالر تھی۔ لہذا یہ کوئی تعجب کی بات نہیں ہے کہ بہت سے چیف انفارمیشن سیکیورٹی آفیسرز (CISOs) رینسم ویئر کو اپنے پانچ اعلی کاروباری خطرات میں سے ایک کے طور پر درج کرتے ہیں۔
سنگاپور میں واقع Acronis سائبر پروٹیکشن آپریشن سینٹر (CPOC) رینسم ویئر کے علاقے میں سائبر کرائم میں اضافے کی تصدیق کرتا ہے۔ مئی کے دوسرے نصف میں، دنیا بھر میں معمول سے 20% زیادہ رینسم ویئر کو بلاک کیا گیا۔ تھوڑی سی کمی کے بعد، اب جون میں ہم دوبارہ سرگرمی میں اضافہ دیکھ رہے ہیں۔ اور اس کی کئی وجوہات ہیں۔
شکار کے کمپیوٹر پر جائیں۔
سیکورٹی ٹیکنالوجیز تیار ہو رہی ہیں، اور حملہ آوروں کو کسی مخصوص نظام میں داخل ہونے کے لیے اپنی حکمت عملی کو کچھ حد تک تبدیل کرنا پڑتا ہے۔ ٹارگٹڈ رینسم ویئر حملے اچھی طرح سے ڈیزائن کردہ فشنگ ای میلز (بشمول سوشل انجینئرنگ) کے ذریعے پھیلتے رہتے ہیں۔ تاہم، حال ہی میں، میلویئر ڈویلپرز دور دراز کے کارکنوں پر بہت زیادہ توجہ دے رہے ہیں۔ ان پر حملہ کرنے کے لیے، آپ ناقص طور پر محفوظ ریموٹ رسائی کی خدمات، جیسے RDP، یا VPN سرورز کو خطرات کے ساتھ تلاش کر سکتے ہیں۔
یہ وہ کرتے ہیں۔ یہاں تک کہ ڈارک نیٹ پر ransomware-as-services بھی ہیں جو آپ کو کسی منتخب تنظیم یا شخص پر حملہ کرنے کے لیے درکار ہر چیز فراہم کرتی ہیں۔
حملہ آور کارپوریٹ نیٹ ورک میں گھسنے اور اپنے حملے کے دائرے کو بڑھانے کے لیے کسی بھی طریقے کی تلاش میں ہیں۔ اس طرح، سروس فراہم کرنے والوں کے نیٹ ورکس کو متاثر کرنے کی کوششیں ایک مقبول رجحان بن گئی ہیں۔ چونکہ کلاؤڈ سروسز آج صرف مقبولیت حاصل کر رہی ہیں، ایک مقبول سروس کا انفیکشن ایک وقت میں درجنوں یا یہاں تک کہ سینکڑوں متاثرین پر حملہ کرنا ممکن بناتا ہے۔
اگر ویب پر مبنی سیکیورٹی مینجمنٹ یا بیک اپ کنسولز سے سمجھوتہ کیا جاتا ہے، تو حملہ آور تحفظ کو غیر فعال کر سکتے ہیں، بیک اپ کو حذف کر سکتے ہیں، اور اپنے مالویئر کو پوری تنظیم میں پھیلنے کی اجازت دے سکتے ہیں۔ ویسے، یہی وجہ ہے کہ ماہرین ملٹی فیکٹر توثیق کا استعمال کرتے ہوئے تمام سروس اکاؤنٹس کو احتیاط سے محفوظ رکھنے کا مشورہ دیتے ہیں۔ مثال کے طور پر، تمام Acronis کلاؤڈ سروسز آپ کو دوہرا تحفظ انسٹال کرنے کی اجازت دیتی ہیں، کیونکہ اگر آپ کے پاس ورڈ سے سمجھوتہ کیا جاتا ہے، تو حملہ آور جامع سائبر پروٹیکشن سسٹم استعمال کرنے کے تمام فوائد کی نفی کر سکتے ہیں۔
حملے کے اسپیکٹرم کو بڑھانا
جب پیارا مقصد حاصل ہو جاتا ہے، اور میلویئر کارپوریٹ نیٹ ورک کے اندر پہلے سے موجود ہوتا ہے، تو عام طور پر مزید پھیلاؤ کے لیے کافی معیاری حربے استعمال کیے جاتے ہیں۔ حملہ آور صورتحال کا مطالعہ کرتے ہیں اور خطرات کا مقابلہ کرنے کے لیے کمپنی کے اندر پیدا ہونے والی رکاوٹوں کو دور کرنے کی کوشش کرتے ہیں۔ حملے کا یہ حصہ دستی طور پر ہوسکتا ہے (آخر، اگر وہ پہلے ہی جال میں گر چکے ہیں، تو بیت ہک پر ہے!) اس کے لیے معروف ٹولز کا استعمال کیا جاتا ہے، جیسے کہ PowerShell، WMI PsExec، نیز جدید ترین Cobalt Strike emulator اور دیگر یوٹیلیٹیز۔ کچھ مجرمانہ گروہ خاص طور پر پاس ورڈ مینیجرز کو کارپوریٹ نیٹ ورک میں گہرائی تک جانے کے لیے نشانہ بناتے ہیں۔ اور میلویئر جیسا کہ Ragnar حال ہی میں VirtualBox ورچوئل مشین کی مکمل طور پر بند تصویر میں دیکھا گیا، جو مشین پر غیر ملکی سافٹ ویئر کی موجودگی کو چھپانے میں مدد کرتا ہے۔
اس طرح، ایک بار جب مالویئر کارپوریٹ نیٹ ورک میں داخل ہوتا ہے، تو یہ صارف کی رسائی کی سطح کو چیک کرنے اور چوری شدہ پاس ورڈ استعمال کرنے کی کوشش کرتا ہے۔ یوٹیلٹیز جیسے Mimikatz اور Bloodhound & Co. ڈومین ایڈمنسٹریٹر اکاؤنٹس کو ہیک کرنے میں مدد کریں۔ اور صرف اس صورت میں جب حملہ آور ڈسٹری بیوشن کے آپشنز کو ختم سمجھتا ہے، رینسم ویئر کو براہ راست کلائنٹ سسٹم میں ڈاؤن لوڈ کیا جاتا ہے۔
رینسم ویئر بطور کور
ڈیٹا ضائع ہونے کے خطرے کی سنگینی کو دیکھتے ہوئے، ہر سال زیادہ سے زیادہ کمپنیاں نام نہاد "ڈیزاسٹر ریکوری پلان" کو نافذ کرتی ہیں۔ اس کی بدولت انہیں انکرپٹڈ ڈیٹا کے بارے میں زیادہ پریشان ہونے کی ضرورت نہیں ہے اور رینسم ویئر حملے کی صورت میں وہ تاوان وصول کرنا شروع نہیں کرتے بلکہ ریکوری کا عمل شروع کر دیتے ہیں۔ لیکن حملہ آور بھی نہیں سوتے۔ Ransomware کی آڑ میں بڑے پیمانے پر ڈیٹا کی چوری ہوتی ہے۔ بھولبلییا 2019 میں اجتماعی طور پر اس طرح کے حربے استعمال کرنے والا پہلا شخص تھا، حالانکہ دوسرے گروہ وقتاً فوقتاً مشترکہ حملے کرتے رہتے ہیں۔ اب، کم از کم Sodinokibi، Netfilm، Nemty، Netwalker، Ragnar، Psya، DoppelPaymer، CLOP، AKO اور Sekhmet انکرپشن کے ساتھ ساتھ ڈیٹا کی چوری میں مصروف ہیں۔
بعض اوقات حملہ آور کسی کمپنی کے دسیوں ٹیرا بائٹس ڈیٹا کو منتقل کرنے کا انتظام کرتے ہیں، جس کا پتہ نیٹ ورک مانیٹرنگ ٹولز کے ذریعے لگایا جا سکتا تھا (اگر وہ انسٹال اور کنفیگر کیے گئے ہوتے)۔ بہر حال، اکثر ڈیٹا کی منتقلی صرف FTP، Putty، WinSCP یا PowerShell اسکرپٹس کا استعمال کرتے ہوئے ہوتی ہے۔ DLP اور نیٹ ورک مانیٹرنگ سسٹم پر قابو پانے کے لیے، ڈیٹا کو انکرپٹ کیا جا سکتا ہے یا پاس ورڈ سے محفوظ محفوظ شدہ دستاویزات کے طور پر بھیجا جا سکتا ہے، جو سیکیورٹی ٹیموں کے لیے ایک نیا چیلنج ہے جنہیں اس طرح کی فائلوں کے لیے باہر جانے والے ٹریفک کو چیک کرنے کی ضرورت ہے۔
infostealers کے رویے کا مطالعہ ظاہر کرتا ہے کہ حملہ آور سب کچھ جمع نہیں کرتے - وہ صرف مالیاتی رپورٹس، کلائنٹ ڈیٹا بیس، ملازمین اور کلائنٹس کے ذاتی ڈیٹا، معاہدوں، ریکارڈز اور قانونی دستاویزات میں دلچسپی رکھتے ہیں۔ میلویئر کسی بھی معلومات کے لیے ڈرائیوز کو اسکین کرتا ہے جسے نظریاتی طور پر بلیک میل کے لیے استعمال کیا جا سکتا ہے۔
اگر ایسا حملہ کامیاب ہو جاتا ہے، تو حملہ آور عموماً ایک چھوٹا سا ٹیزر شائع کرتے ہیں، جس میں کئی دستاویزات اس بات کی تصدیق ہوتی ہیں کہ تنظیم سے ڈیٹا لیک ہو گیا ہے۔ اور کچھ گروہ تاوان کی ادائیگی کا وقت ختم ہونے کی صورت میں پورا ڈیٹا سیٹ اپنی ویب سائٹ پر شائع کرتے ہیں۔ بلاکنگ سے بچنے اور وسیع کوریج کو یقینی بنانے کے لیے، ڈیٹا کو TOR نیٹ ورک پر بھی شائع کیا جاتا ہے۔
منیٹائز کرنے کا دوسرا طریقہ ڈیٹا بیچنا ہے۔ مثال کے طور پر، Sodinokibi نے حال ہی میں کھلی نیلامی کا اعلان کیا جس میں ڈیٹا سب سے زیادہ بولی لگانے والے کو جاتا ہے۔ ڈیٹا کے معیار اور مواد کے لحاظ سے اس طرح کی تجارت کی ابتدائی قیمت $50-100K ہے۔ مثال کے طور پر، 10 کیش فلو ریکارڈز، خفیہ کاروباری ڈیٹا اور اسکین شدہ ڈرائیور کے لائسنس کا ایک سیٹ $000 سے کم میں اور $100 میں کوئی 000 سے زیادہ مالی دستاویزات کے علاوہ اکاؤنٹنگ فائلوں اور کسٹمر ڈیٹا کے تین ڈیٹا بیس خرید سکتا ہے۔
وہ سائٹس جہاں لیک شائع ہوتے ہیں وسیع پیمانے پر مختلف ہوتے ہیں۔ یہ ایک سادہ صفحہ ہو سکتا ہے جس پر چوری ہونے والی ہر چیز کو آسانی سے پوسٹ کیا جاتا ہے، لیکن سیکشنز اور خریداری کے امکانات کے ساتھ مزید پیچیدہ ڈھانچے بھی ہیں۔ لیکن اہم بات یہ ہے کہ وہ سب ایک ہی مقصد کی تکمیل کرتے ہیں - حملہ آوروں کو حقیقی رقم ملنے کے امکانات کو بڑھانا۔ اگر یہ کاروباری ماڈل حملہ آوروں کے لیے اچھے نتائج دکھاتا ہے، تو اس میں کوئی شک نہیں کہ اس سے بھی زیادہ ملتی جلتی سائٹیں ہوں گی، اور کارپوریٹ ڈیٹا کو چرانے اور رقم کمانے کی تکنیکوں کو مزید وسعت دی جائے گی۔
ڈیٹا لیک شائع کرنے والی موجودہ سائٹیں اس طرح نظر آتی ہیں:
نئے حملوں کے ساتھ کیا کرنا ہے
اس ماحول میں سیکیورٹی ٹیموں کے لیے سب سے بڑا چیلنج یہ ہے کہ حال ہی میں رینسم ویئر سے متعلق زیادہ سے زیادہ واقعات ڈیٹا کی چوری سے محض ایک خلفشار ثابت ہوتے ہیں۔ حملہ آور اب صرف سرور کی خفیہ کاری پر انحصار نہیں کرتے ہیں۔ اس کے برعکس، اصل مقصد یہ ہے کہ جب آپ رینسم ویئر سے لڑ رہے ہوں تو ایک لیک کو منظم کریں۔
اس طرح، اکیلے بیک اپ سسٹم کا استعمال، یہاں تک کہ ایک اچھے ریکوری پلان کے ساتھ، کثیر پرتوں والے خطرات کا مقابلہ کرنے کے لیے کافی نہیں ہے۔ نہیں، یقیناً، آپ بیک اپ کاپیوں کے بغیر بھی نہیں کر سکتے، کیونکہ حملہ آور یقینی طور پر کسی چیز کو خفیہ کرنے کی کوشش کریں گے اور تاوان طلب کریں گے۔ بات اس کے بجائے یہ ہے کہ اب Ransomware کا استعمال کرتے ہوئے ہر حملے کو ٹریفک کے جامع تجزیہ اور ممکنہ حملے کی تحقیقات شروع کرنے کی ایک وجہ سمجھا جانا چاہیے۔ آپ کو اضافی حفاظتی خصوصیات کے بارے میں بھی سوچنا چاہئے جو یہ کر سکتے ہیں:
- فوری طور پر حملوں کا پتہ لگائیں اور AI کا استعمال کرتے ہوئے نیٹ ورک کی غیر معمولی سرگرمی کا تجزیہ کریں۔
- صفر دن کے رینسم ویئر حملوں سے فوری طور پر سسٹمز کو بازیافت کریں تاکہ آپ نیٹ ورک کی سرگرمیوں کی نگرانی کر سکیں
- کارپوریٹ نیٹ ورک پر کلاسک میلویئر اور نئی قسم کے حملوں کے پھیلاؤ کو روکیں۔
- موجودہ کمزوریوں اور استحصال کے لیے سافٹ ویئر اور سسٹمز (بشمول ریموٹ رسائی) کا تجزیہ کریں۔
- کارپوریٹ دائرہ سے باہر نامعلوم معلومات کی منتقلی کو روکیں۔
سروے میں صرف رجسٹرڈ صارفین ہی حصہ لے سکتے ہیں۔ ، برائے مہربانی.
کیا آپ نے کبھی Ransomware حملے کے دوران پس منظر کی سرگرمی کا تجزیہ کیا ہے؟
20,0٪ہاں 1
80,0٪نمبر 4
5 صارفین نے ووٹ دیا۔ 2 صارفین غیر حاضر رہے۔
ماخذ: www.habr.com
