रैंसमवेयर पीड़ितों की संख्या में वृद्धि हुई है क्योंकि धमकी देने वाले अभिनेता जीरो-डे शोषण की ओर बढ़ रहे हैं

143 की पहली तिमाही और इस साल की पहली तिमाही के बीच रैंसमवेयर हमलों का शिकार बनने वाले संगठनों की संख्या में 2022% की वृद्धि हुई, क्योंकि हमलावरों ने लक्ष्य नेटवर्क में सेंध लगाने के लिए शून्य-दिन की कमजोरियों और एक-दिवसीय खामियों का तेजी से फायदा उठाया।

इनमें से कई हमलों में, धमकी देने वाले अभिनेताओं ने पीड़ित संगठनों से संबंधित डेटा को एन्क्रिप्ट करने की इतनी जहमत नहीं उठाई। इसके बजाय, उन्होंने पूरी तरह से उनके संवेदनशील डेटा को चुराने पर ध्यान केंद्रित किया और दूसरों को डेटा बेचने या लीक करने की धमकी देकर पीड़ितों से वसूली की। इस रणनीति ने उन लोगों को भी एक कोने में छोड़ दिया जिनके पास अन्यथा मजबूत बैकअप और पुनर्स्थापना प्रक्रियाएँ थीं।

पीड़ितों में वृद्धि

अकामाई के शोधकर्ता रुझानों की खोज की जब उन्होंने हाल ही में 90 रैंसमवेयर समूहों से संबंधित लीक साइटों से एकत्र किए गए डेटा का विश्लेषण किया। लीक साइटें वे स्थान हैं जहां रैंसमवेयर समूह आम तौर पर अपने हमलों, पीड़ितों और किसी भी डेटा के बारे में विवरण जारी करते हैं जिसे उन्होंने एन्क्रिप्ट किया हो या बाहर निकाला हो।

अकामाई के विश्लेषण से पता चला कि रैंसमवेयर हमलों के बारे में कई लोकप्रिय धारणाएं अब पूरी तरह सच नहीं हैं। कंपनी के अनुसार, सबसे महत्वपूर्ण में से एक प्रारंभिक पहुंच वेक्टर के रूप में फ़िशिंग से भेद्यता शोषण की ओर बदलाव है। अकामाई ने पाया कि कई प्रमुख रैंसमवेयर ऑपरेटर शून्य-दिन की कमजोरियों को प्राप्त करने पर ध्यान केंद्रित कर रहे हैं - या तो इन-हाउस अनुसंधान के माध्यम से या इसे ग्रे-मार्केट स्रोतों से खरीदकर - अपने हमलों में उपयोग करने के लिए।

एक उल्लेखनीय उदाहरण सीएल0पी रैंसमवेयर समूह है, जिसने फोर्ट्रा के गोएनीव्हेयर सॉफ़्टवेयर में शून्य-दिवसीय एसक्यूएल-इंजेक्शन भेद्यता का दुरुपयोग किया (CVE-2023-0669) इस साल की शुरुआत में कई हाई-प्रोफाइल कंपनियों में सेंध लगाने के लिए। मई में, उसी धमकी देने वाले अभिनेता ने खोजे गए एक और शून्य-दिन बग का दुरुपयोग किया - इस बार प्रोग्रेस सॉफ्टवेयर के MOVEIt फ़ाइल स्थानांतरण एप्लिकेशन में (CVE-2023-34362) - वैश्विक स्तर पर दर्जनों प्रमुख संगठनों में घुसपैठ करना। अकामाई ने पाया कि जीरो-डे बग्स का शोषण शुरू करने के बाद 0 की पहली तिमाही और इस साल की पहली तिमाही के बीच सीएल2022पी की पीड़ितों की संख्या नौ गुना बढ़ गई।

अकामाई ने कहा कि यद्यपि शून्य-दिन की कमजोरियों का लाभ उठाना विशेष रूप से नया नहीं है, लेकिन रैंसमवेयर अभिनेताओं के बीच बड़े पैमाने पर हमलों में उनका उपयोग करने की उभरती प्रवृत्ति महत्वपूर्ण है।

अकामाई सुरक्षा अनुसंधान की कोर टीम के प्रमुख एलियाड किम्ही कहते हैं, "विशेष रूप से शून्य-दिन की कमजोरियों का घरेलू विकास चिंताजनक है।" "हम इसे सीएल0पी के साथ उनके दो हालिया प्रमुख हमलों के साथ देखते हैं, और हम उम्मीद करते हैं कि अन्य समूह भी इसका अनुसरण करेंगे और इस प्रकार की कमजोरियों को खरीदने और प्राप्त करने के लिए अपने संसाधनों का लाभ उठाएंगे।"

अन्य उदाहरणों में, लॉकबिट और एएलपीएचवी (उर्फ ब्लैककैट) जैसे बड़े रैंसमवेयर संगठनों ने नई प्रकट कमजोरियों पर छलांग लगाकर तबाही मचाई, इससे पहले कि संगठनों को उनके लिए विक्रेता के समाधान को लागू करने का मौका मिलता। ऐसी "दिन-एक" कमजोरियों के उदाहरणों में शामिल हैं अप्रैल 2023 की पेपरकट कमजोरियाँ (CVE-2023-27350 और CVE-2023-27351) और VMware के ESXi सर्वर में कमजोरियाँ जिनका ESXiArgs अभियान के संचालक ने फायदा उठाया।

एन्क्रिप्शन से एक्सफिल्ट्रेशन की ओर बढ़ना

अकामाई ने यह भी पाया कि कुछ रैंसमवेयर ऑपरेटर - जैसे कि बियानलियन अभियान के पीछे - पूरी तरह से डेटा एन्क्रिप्शन से हट गए हैं डेटा चोरी के माध्यम से जबरन वसूली करना. स्विच के महत्वपूर्ण होने का कारण यह है कि डेटा एन्क्रिप्शन के साथ, संगठनों के पास अपने लॉक किए गए डेटा को पुनः प्राप्त करने का मौका होता है यदि उनके पास पर्याप्त मजबूत डेटा बैकअप और पुनर्स्थापना प्रक्रिया होती है। डेटा चोरी के साथ, संगठनों के पास वह अवसर नहीं होता है और इसके बजाय उन्हें या तो भुगतान करना पड़ता है या धमकी देने वाले अभिनेताओं द्वारा उनके डेटा को सार्वजनिक रूप से लीक करने का जोखिम उठाना पड़ता है - या इससे भी बदतर, इसे दूसरों को बेचना पड़ता है।

किम्ही का कहना है कि जबरन वसूली तकनीकों का विविधीकरण उल्लेखनीय है। किम्ही कहते हैं, "डेटा की घुसपैठ अतिरिक्त उत्तोलन के रूप में शुरू हुई थी जो कुछ मायनों में फ़ाइलों के एन्क्रिप्शन के लिए गौण थी।" "आजकल हम इसे जबरन वसूली के लिए प्राथमिक उत्तोलन के रूप में उपयोग करते हुए देखते हैं, जिसका अर्थ है कि फ़ाइल बैकअप, उदाहरण के लिए, पर्याप्त नहीं हो सकता है।"

अकामाई के डेटासेट में अधिकांश पीड़ित - उनमें से लगभग 65%, वास्तव में - $50 मिलियन तक के कथित राजस्व के साथ छोटे से मध्यम आकार के व्यवसाय थे। बड़े संगठन, जिन्हें अक्सर सबसे बड़े रैंसमवेयर लक्ष्य के रूप में माना जाता है, वास्तव में केवल 12% पीड़ित हैं। विनिर्माण कंपनियों ने अनुपातहीन प्रतिशत हमलों का अनुभव किया, इसके बाद स्वास्थ्य सेवा संस्थाओं और वित्तीय सेवा फर्मों का नंबर आया। गौरतलब है कि अकामाई ने पाया कि जिन संगठनों पर रैंसमवेयर हमले का अनुभव होता है, उनमें पहले हमले के तीन महीने के भीतर दूसरे हमले का अनुभव होने की बहुत अधिक संभावना होती है।

किम्ही का कहना है कि इस बात पर ज़ोर देना ज़रूरी है कि फ़िशिंग से बचाव करना अभी भी बहुत ज़रूरी है। साथ ही, संगठनों को नई प्रकट कमजोरियों को ठीक करने को प्राथमिकता देने की आवश्यकता है। वह आगे कहते हैं, "[टी] वही सिफारिशें जो हम कर रहे हैं वे अभी भी लागू होती हैं, जैसे कि प्रतिद्वंद्वी, खतरे की सतहों, इस्तेमाल की जाने वाली, पसंदीदा और विकसित की गई तकनीकों को समझना, और विशेष रूप से आपको किन उत्पादों, प्रक्रियाओं और लोगों को विकसित करने की आवश्यकता है आधुनिक रैंसमवेयर हमले को रोकें।”

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits