एफबीआई का कहना है कि हाइव रैंसमवेयर सर्वर आखिरकार बंद हो गए

छह महीने पहले, अनुसार अमेरिकी न्याय विभाग (डीओजे) को, फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन (एफबीआई) ने हाइव रैंसमवेयर गिरोह में घुसपैठ की और पीड़ितों के लिए डिक्रिप्शन कुंजियों को "चोरी करना" शुरू कर दिया, जिनकी फाइलों को खंगाला गया था।

जैसा कि आप लगभग निश्चित रूप से हैं, और दुख की बात है, जागरूक, इन दिनों रैंसमवेयर हमलों में आमतौर पर साइबर अपराधियों के दो संबद्ध समूह शामिल होते हैं।

ये समूह अक्सर एक-दूसरे को केवल उपनामों से "जानते" हैं, और बचने के लिए गुमनामी उपकरण का उपयोग करके केवल "ऑनलाइन" मिलते हैं वास्तव में एक दूसरे की वास्तविक जीवन की पहचान और स्थानों को जानना (या प्रकट करना, चाहे दुर्घटना या डिजाइन द्वारा)।

कोर गिरोह के सदस्य बड़े पैमाने पर पृष्ठभूमि में रहते हैं, दुर्भावनापूर्ण प्रोग्राम बनाते हैं जो आपकी सभी महत्वपूर्ण फ़ाइलों को हाथापाई (या अन्यथा अवरुद्ध) करते हैं, एक एक्सेस कुंजी का उपयोग करके जो क्षति होने के बाद वे स्वयं को रखते हैं।

वे एक या एक से अधिक डार्कवेब "पेमेंट पेज" भी चलाते हैं, जहां पीड़ित उन एक्सेस कुंजियों के बदले में ब्लैकमेल पैसे का भुगतान करने के लिए जाते हैं, इस प्रकार उन्हें अपने जमे हुए कंप्यूटरों को अनलॉक करने और अपनी कंपनियों को फिर से चलाने की अनुमति मिलती है।

क्राइमवेयर-ए-ए-सर्विस

यह मुख्य समूह "सहयोगियों" के संभवतः बड़े और कभी-कभी बदलते समूह से घिरा हुआ है - अपराध में भागीदार जो मुख्य गिरोह के "हमले के कार्यक्रमों" को व्यापक रूप से और गहराई से लागू करने के लिए अन्य लोगों के नेटवर्क में टूट जाते हैं।

उनका लक्ष्य, एक "कमीशन शुल्क" से प्रेरित है, जो भुगतान किए गए कुल ब्लैकमेल का 80% तक हो सकता है, एक व्यवसाय के लिए इतना व्यापक और अचानक व्यवधान पैदा करना है कि वे न केवल आंखों में पानी लाने वाले जबरन भुगतान की मांग कर सकते हैं, बल्कि यह भी पीड़ित को भुगतान करने के अलावा और कोई विकल्प नहीं है।

इस व्यवस्था को आम तौर पर जाना जाता है रास or सीएएएस, के लिए कम Ransomware (या क्राइमवेयर) के रूप में एक सेवा, एक ऐसा नाम जो एक विडंबनापूर्ण अनुस्मारक के रूप में खड़ा है कि साइबर अपराधी अंडरवर्ल्ड कई वैध व्यवसायों द्वारा उपयोग किए जाने वाले संबद्ध या फ़्रैंचाइज़ी मॉडल की नकल करने में प्रसन्न है।

बिना भुगतान के वसूल करना

एक सफल नेटवर्क-व्यापी फ़ाइल-लॉकआउट हमले के बाद भुगतान किए बिना पीड़ित अपने व्यवसाय को पटरी पर लाने के तीन मुख्य तरीके हैं:

• एक मजबूत और कुशल पुनर्प्राप्ति योजना बनाएं। आम तौर पर, इसका मतलब न केवल बैकअप बनाने के लिए एक शीर्ष प्रक्रिया है, बल्कि यह भी जानना है कि रैंसमवेयर सहयोगी कंपनियों से सुरक्षित सब कुछ की कम से कम एक बैकअप कॉपी कैसे रखें (वे आपके ऑनलाइन बैकअप को खोजने और नष्ट करने से बेहतर कुछ नहीं पसंद करते हैं) उनके हमले का अंतिम चरण)। आपको यह भी अभ्यास करने की आवश्यकता है कि उन बैकअप को मज़बूती से और जल्दी से कैसे पुनर्स्थापित किया जाए, ऐसा करना वैसे भी भुगतान करने का एक व्यवहार्य विकल्प है।
• हमलावरों द्वारा उपयोग की जाने वाली फ़ाइल लॉकआउट प्रक्रिया में दोष खोजें। आमतौर पर, रैंसमवेयर बदमाश आपकी फाइलों को उसी तरह की सुरक्षित क्रिप्टोग्राफी के साथ एन्क्रिप्ट करके "लॉक" कर देते हैं, जिसका इस्तेमाल आप अपने वेब ट्रैफिक या अपने बैकअप को सुरक्षित करते समय खुद कर सकते हैं। कभी-कभी, हालांकि, कोर गैंग एक या अधिक प्रोग्रामिंग ब्लंडर करता है जो आपको डिक्रिप्शन को "क्रैक" करने और भुगतान किए बिना पुनर्प्राप्त करने के लिए एक निःशुल्क टूल का उपयोग करने की अनुमति दे सकता है। हालांकि, जागरूक रहें, कि वसूली का यह मार्ग भाग्य से होता है, डिजाइन से नहीं।
• वास्तविक पुनर्प्राप्ति पासवर्ड या कुंजियों को किसी अन्य तरीके से प्राप्त करें। हालांकि यह दुर्लभ है, इसके कई तरीके हो सकते हैं, जैसे: गिरोह के अंदर एक टर्नकोट की पहचान करना जो अंतरात्मा की आवाज में चाबियों को लीक कर देगा या द्वेष का विस्फोट होगा; बदमाशों के अपने छिपे हुए सर्वरों से चाबियां निकालने के लिए एक जवाबी हमले की अनुमति देने वाली नेटवर्क सुरक्षा गड़बड़ी का पता लगाना; या गिरोह में घुसपैठ करना और अपराधियों के नेटवर्क में आवश्यक डेटा तक अंडरकवर पहुंच प्राप्त करना।

इनमें से अंतिम, घुसपैठ, डीओजे का कहना है कि यह है कर पाया जुलाई 2022 के बाद से कम से कम कुछ हाइव पीड़ितों के लिए, केवल छह महीनों में, 130 से अधिक व्यक्तिगत हमलों से संबंधित, जाहिरा तौर पर शॉर्ट-सर्किटिंग ब्लैकमेल कुल $300 मिलियन डॉलर से अधिक की मांग करता है।

हम मान रहे हैं कि $130 मिलियन का आंकड़ा हमलावरों की प्रारंभिक मांगों पर आधारित है; रैंसमवेयर बदमाश कभी-कभी कम भुगतान के लिए सहमत हो जाते हैं, कुछ नहीं के बजाय कुछ लेना पसंद करते हैं, हालांकि "छूट" की पेशकश अक्सर भुगतान को केवल अवहनीय रूप से विशाल से आंखों को पानी देने वाले विशाल तक कम करती प्रतीत होती है। उपरोक्त आंकड़ों के आधार पर औसत औसत मांग $130M/300 है, या प्रति पीड़ित $450,000 के करीब है।

अस्पतालों ने उचित लक्ष्य माना

जैसा कि डीओजे बताता है, आम तौर पर कई रैंसमवेयर गिरोह, और विशेष रूप से हाइव चालक दल, किसी भी और सभी नेटवर्क को ब्लैकमेल करने के लिए उचित खेल के रूप में मानते हैं, सार्वजनिक रूप से वित्त पोषित संगठनों जैसे कि स्कूलों और अस्पतालों पर उसी शक्ति के साथ हमला करते हैं जो वे इसके खिलाफ उपयोग करते हैं। सबसे धनी वाणिज्यिक कंपनियां:

[टी] हाइव रैंसमवेयर समूह […] ने दुनिया भर के 1500 से अधिक देशों में 80 से अधिक पीड़ितों को लक्षित किया है, जिसमें अस्पताल, स्कूल जिले, वित्तीय फर्म और महत्वपूर्ण बुनियादी ढांचा शामिल हैं।

दुर्भाग्य से, भले ही एक आधुनिक साइबर अपराध गिरोह में घुसपैठ करने से आपको गिरोह के टीटीपी में शानदार अंतर्दृष्टि मिल सकती है (उपकरण, तकनीक और प्रक्रियाएं), और - जैसा कि इस मामले में है - आपको ब्लैकमेल प्रक्रिया को नष्ट करके उनके संचालन को बाधित करने का मौका देता है, जिस पर आंखों में पानी भरने वाली जबरन वसूली की मांग आधारित होती है ...

…अपराधियों के डार्कवेब-आधारित आईटी बुनियादी ढांचे के लिए एक गिरोह प्रशासक का पासवर्ड जानने के बाद भी आम तौर पर आपको यह नहीं बताया जाता है कि बुनियादी ढांचा कहां आधारित है।

द्विदिश छद्म गुमनामी

डार्कवेब के महान/भयानक पहलुओं में से एक (इस पर निर्भर करता है कि आप इसका उपयोग क्यों कर रहे हैं, और आप किस तरफ हैं), विशेष रूप से टो (के लिए कम प्याज राउटर) नेटवर्क जो आज के रैंसमवेयर अपराधियों द्वारा व्यापक रूप से पसंद किया जाता है, वह है जिसे आप इसकी द्विदिश छद्म गुमनामी कह सकते हैं।

डार्कवेब न केवल उन उपयोगकर्ताओं की पहचान और स्थान को ढाल देता है जो उस पर होस्ट किए गए सर्वर से जुड़ते हैं, बल्कि उन सर्वरों के स्थान को भी छिपाते हैं जो विज़िट करने वाले क्लाइंट से स्वयं को छिपाते हैं।

सर्वर (अधिकांश भाग के लिए, कम से कम) यह नहीं जानता है कि जब आप लॉग इन करते हैं तो आप कौन होते हैं, जो कि साइबर क्राइम सहयोगी जैसे ग्राहकों को आकर्षित करता है और डार्कवेब ड्रग खरीदार होगा, क्योंकि उन्हें लगता है कि वे होंगे कोर गिरोह संचालकों का पर्दाफाश होने पर भी सुरक्षित रूप से कट-एंड-रन करने में सक्षम।

इसी तरह, दुष्ट सर्वर ऑपरेटर इस तथ्य से आकर्षित होते हैं कि भले ही उनके ग्राहक, सहयोगी या स्वयं के sysadmins का भंडाफोड़ हो जाए, या उन्हें बदल दिया जाए, या कानून प्रवर्तन द्वारा हैक कर लिया जाए, वे यह प्रकट नहीं कर पाएंगे कि मुख्य गिरोह के सदस्य कौन हैं, या वे कहाँ हैं उनकी दुर्भावनापूर्ण ऑनलाइन गतिविधियों की मेजबानी करें।

अंत में हटाना

ठीक है, ऐसा लगता है कि कल के डीओजे प्रेस विज्ञप्ति का कारण यह है कि एफबीआई जांचकर्ताओं ने जर्मनी और नीदरलैंड दोनों में कानून प्रवर्तन की सहायता से, हाइव गिरोह द्वारा उपयोग किए जा रहे डार्कवेब सर्वरों की पहचान, स्थित और जब्त कर लिया है:

अंत में, विभाग ने आज [2023-01-26] घोषणा की कि, जर्मन कानून प्रवर्तन (जर्मन संघीय आपराधिक पुलिस और रूटलिंगन पुलिस मुख्यालय-सीआईडी ​​एस्लिंगन) और नीदरलैंड राष्ट्रीय हाई टेक अपराध इकाई के समन्वय में, इसने नियंत्रण को जब्त कर लिया है हाइव अपने सदस्यों के साथ संवाद करने के लिए सर्वर और वेबसाइटों का उपयोग करता है, जिससे पीड़ितों पर हमला करने और जबरन वसूली करने की हाइव की क्षमता बाधित होती है।

क्या करना है?

हमने यह लेख यूरोप में FBI और इसके कानून प्रवर्तन भागीदारों की इतनी दूर तक पहुँचने के लिए सराहना करने के लिए लिखा है ...

…जांच करना, घुसपैठ करना, टोह लेना, और अंत में इस कुख्यात रैंसमवेयर चालक दल के मौजूदा बुनियादी ढांचे को फंसाने के लिए हमला करना, उनकी आधे मिलियन डॉलर की औसत ब्लैकमेल मांगों के साथ, और अस्पतालों को बाहर निकालने की उनकी इच्छा उतनी ही तत्परता से जितनी आसानी से वे किसी के पीछे जाते हैं दूसरे का नेटवर्क।

दुर्भाग्य से, आप शायद पहले ही क्लिच सुन चुके हैं साइबर अपराध एक निर्वात को घृणा करता है, और यह दुख की बात है कि रैनसमवेयर संचालकों के लिए उतना ही सच है जितना कि यह ऑनलाइन अपराध के किसी अन्य पहलू के लिए है।

यदि मुख्य गिरोह के सदस्यों को गिरफ्तार नहीं किया जाता है, तो वे बस थोड़ी देर के लिए शांत हो सकते हैं, और फिर नए सर्वर के साथ एक नए नाम (या शायद जानबूझ कर और अहंकारपूर्वक अपने पुराने "ब्रांड" को पुनर्जीवित कर सकते हैं) के तहत उभर सकते हैं, एक बार फिर से डार्कवेब लेकिन एक नए और अब अज्ञात स्थान पर।

या फिर अन्य रैंसमवेयर गिरोह कुछ "सहयोगियों" को आकर्षित करने की उम्मीद में अपने संचालन को बढ़ा देंगे, जो अचानक उनके आकर्षक गैरकानूनी राजस्व धारा के बिना रह गए थे।

किसी भी तरह से, इस तरह से निष्कासन ऐसी चीज है जिसकी हमें तत्काल आवश्यकता है, जब ऐसा होता है तो हमें खुश होने की आवश्यकता होती है, लेकिन यह पूरी तरह से साइबर अपराध में एक अस्थायी सेंध लगाने की संभावना नहीं है।

रैंसमवेयर बदमाश हमारी अर्थव्यवस्था से जो पैसा चूस रहे हैं, उसे कम करने के लिए, हमें साइबर अपराध की रोकथाम के लिए लक्ष्य बनाना होगा, न कि केवल इलाज के लिए।

संभावित रैंसमवेयर हमलों के शुरू होने से पहले उनका पता लगाना, उनका जवाब देना और इस प्रकार उन्हें रोकना, या जब वे सामने आ रहे हों, या यहां तक ​​कि अंतिम क्षण में, जब बदमाश आपके नेटवर्क पर अंतिम फ़ाइल-स्क्रैम्बलिंग प्रक्रिया को खोलने की कोशिश करते हैं, हमेशा बेहतर होता है वास्तविक हमले से उबरने की कोशिश का तनाव।

कराटे किड प्रसिद्धि के मिस्टर मिआगी के रूप में, जानबूझकर टिप्पणी की, "पंच से बचने का सबसे अच्छा तरीका - वहाँ नहीं होना चाहिए।"

---

अभी सुनें: एक साइबर क्राइम फाइटर के जीवन में एक दिन

पॉल डकलिन से बात करता है पीटर मैकेंज़ी, सोफोस में इंसीडेंट रिस्पांस के निदेशक, एक साइबर सुरक्षा सत्र में जो आपको समान रूप से सचेत करेगा, आपका मनोरंजन करेगा और आपको शिक्षित करेगा।

इससे पहले कि वे आपको रोकें रैंसमवेयर बदमाशों को रोकना सीखें! (भरा हुआ प्रतिलिपि उपलब्ध।)

---

साइबर सुरक्षा खतरे की प्रतिक्रिया का ख्याल रखने के लिए समय या विशेषज्ञता कम है? चिंतित हैं कि साइबर सुरक्षा आपको उन सभी अन्य चीजों से विचलित कर देगी जो आपको करने की आवश्यकता है? सुनिश्चित नहीं हैं कि उन कर्मचारियों से सुरक्षा रिपोर्ट का जवाब कैसे दिया जाए जो वास्तव में मदद करने के इच्छुक हैं?

इस बारे में अधिक जानें सोफोस प्रबंधित पहचान और प्रतिक्रिया:
24/7 खतरे का शिकार, पता लगाना और प्रतिक्रिया  ▶

---

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/