FBI کا کہنا ہے کہ Hive ransomware سرورز آخر کار بند ہو گئے۔

چھ مہینے پہلے، کے مطابق امریکی محکمہ انصاف (DOJ) کو، فیڈرل بیورو آف انویسٹی گیشن (FBI) نے Hive ransomware گینگ میں دراندازی کی اور ان متاثرین کے لیے ڈکرپشن کیز کو "واپس چوری" کرنا شروع کر دیا جن کی فائلوں کو اسکرمب کیا گیا تھا۔

جیسا کہ آپ تقریباً یقینی طور پر ہیں، اور افسوس کی بات ہے کہ، ان دنوں رینسم ویئر کے حملوں میں عام طور پر سائبر کرائمینلز کے دو منسلک گروپ شامل ہوتے ہیں۔

یہ گروپ اکثر ایک دوسرے کو صرف عرفی ناموں سے "جانتے ہیں" اور بچنے کے لیے گمنامی کے ٹولز کا استعمال کرتے ہوئے صرف آن لائن "ملتے" ہیں اصل میں ایک دوسرے کی حقیقی زندگی کی شناخت اور مقامات کو جاننا (یا ظاہر کرنا، چاہے حادثہ ہو یا ڈیزائن)۔

بنیادی گینگ کے ارکان زیادہ تر پس منظر میں رہتے ہیں، ایسے بدنیتی پر مبنی پروگرام بناتے ہیں جو آپ کی تمام اہم فائلوں کو گھمبیر کرتے ہیں (یا دوسری صورت میں رسائی کو روکتے ہیں)، ایک رسائی کلید کا استعمال کرتے ہوئے جسے وہ نقصان پہنچنے کے بعد اپنے پاس رکھتے ہیں۔

وہ ایک یا زیادہ ڈارک ویب "ادائیگی کے صفحات" بھی چلاتے ہیں جہاں متاثرین، ڈھیلے الفاظ میں، ان رسائی کیز کے بدلے بلیک میل پیسہ ادا کرنے جاتے ہیں، اس طرح وہ اپنے منجمد کمپیوٹرز کو ان لاک کرنے کی اجازت دیتے ہیں، اور اپنی کمپنیاں دوبارہ چلانے کی اجازت دیتے ہیں۔

کرائم ویئر بطور سروس

یہ بنیادی گروپ ممکنہ طور پر ایک بڑے اور ہمیشہ بدلتے رہنے والے "ملحقہ اداروں" کے گروپ سے گھرا ہوا ہے - جرائم میں شراکت دار جو دوسرے لوگوں کے نیٹ ورکس میں داخل ہوتے ہیں تاکہ کور گینگ کے "حملے کے پروگرام" کو ممکنہ حد تک وسیع پیمانے پر اور گہرائی سے لگایا جا سکے۔

ان کا مقصد، ایک "کمیشن فیس" سے حوصلہ افزائی کرتا ہے جو کہ کل بلیک میلنگ کا 80% ہو سکتا ہے، کاروبار میں اس قدر وسیع اور اچانک خلل ڈالنا ہے کہ وہ نہ صرف آنکھوں میں پانی ڈالنے والی بھتہ کی ادائیگی کا مطالبہ کر سکتے ہیں، بلکہ شکار کو ادائیگی کرنے کے علاوہ کوئی چارہ نہیں چھوڑنا۔

اس ترتیب کو عام طور پر کہا جاتا ہے۔ راس or CaaS، مختصرا ransomware کے (یا جرائم کا سامان) بطور خدمت, ایک نام جو ایک ستم ظریفی کی یاد دہانی کے طور پر کھڑا ہے کہ سائبر کرائمینل انڈرورلڈ بہت سے جائز کاروباروں کے ذریعہ استعمال کردہ الحاق یا فرنچائز ماڈل کی کاپی کرنے میں خوش ہے۔

ادائیگی کے بغیر وصولی

کامیاب نیٹ ورک وائیڈ فائل لاک آؤٹ حملے کے بعد متاثرین بغیر کسی ادائیگی کے اپنے کاروبار کو ریل پر واپس لانے کے تین اہم طریقے ہیں:

• ایک مضبوط اور موثر بحالی کا منصوبہ بنائیں۔ عام طور پر، اس کا مطلب یہ ہے کہ بیک اپ بنانے کے لیے نہ صرف ایک اعلیٰ درجے کا عمل ہونا چاہیے، بلکہ یہ جاننا بھی ہے کہ ہر چیز کی کم از کم ایک بیک اپ کاپی کو رینسم ویئر سے وابستہ افراد سے کیسے محفوظ رکھا جائے (وہ اپنے آن لائن بیک اپ کو کھولنے سے پہلے تلاش کرنے اور تباہ کرنے سے بہتر کوئی چیز پسند نہیں کرتے۔ ان کے حملے کا آخری مرحلہ)۔ آپ کو یہ بھی مشق کرنے کی ضرورت ہے کہ ان بیک اپ کو کس طرح قابل اعتماد اور تیزی سے بحال کیا جائے کہ ایسا کرنا بہرحال صرف ادائیگی کرنے کا ایک قابل عمل متبادل ہے۔
• حملہ آوروں کے استعمال کردہ فائل لاک آؤٹ کے عمل میں کوئی خامی تلاش کریں۔ عام طور پر، ransomware بدمعاش آپ کی فائلوں کو اسی قسم کے محفوظ خفیہ نگاری کے ساتھ انکرپٹ کرکے "لاک" کرتا ہے جسے آپ اپنے ویب ٹریفک یا اپنے بیک اپ کو محفوظ کرتے وقت خود استعمال کرسکتے ہیں۔ تاہم، کبھی کبھار، بنیادی گروہ ایک یا زیادہ پروگرامنگ غلطیاں کرتا ہے جو آپ کو ایک مفت ٹول استعمال کرنے کی اجازت دے سکتا ہے تاکہ آپ ڈکرپشن کو "کریک" کر سکیں اور ادائیگی کیے بغیر بازیافت کریں۔ تاہم، آگاہ رہیں کہ بحالی کا یہ راستہ قسمت سے ہوتا ہے، ڈیزائن سے نہیں۔
• اصل ریکوری پاس ورڈز یا کیز کو کسی اور طریقے سے پکڑیں۔ اگرچہ یہ شاذ و نادر ہی ہوتا ہے، لیکن اس کے کئی طریقے ہو سکتے ہیں، جیسے کہ: گینگ کے اندر ایک ٹرن کوٹ کی نشاندہی کرنا جو ضمیر کے مطابق چابیاں لیک کرے گا یا غصے میں پھٹ جائے گا۔ ایک نیٹ ورک سیکیورٹی غلطی کا پتہ لگانا جو کہ جوابی حملے کو بدمعاشوں کے اپنے چھپے ہوئے سرورز سے چابیاں نکالنے کی اجازت دیتا ہے۔ یا گروہ میں گھسنا اور مجرموں کے نیٹ ورک میں مطلوبہ ڈیٹا تک خفیہ رسائی حاصل کرنا۔

ان میں سے آخری، گھسپیٹھ کو، DOJ کا کہنا ہے کہ یہ ہے۔ کرنے کے قابل تھے جولائی 2022 سے Hive کے کم از کم کچھ متاثرین کے لیے، بظاہر شارٹ سرکیٹنگ بلیک میلنگ کا مطالبہ صرف چھ ماہ میں 130 سے زیادہ انفرادی حملوں سے متعلق، مجموعی طور پر $300 ملین ڈالر سے زیادہ ہے۔

ہم فرض کر رہے ہیں کہ $130 ملین کا اعداد و شمار حملہ آوروں کے ابتدائی مطالبات پر مبنی ہے۔ ransomware کے بدمعاش بعض اوقات کم ادائیگیوں پر راضی ہو جاتے ہیں، کچھ لینے کے بجائے کچھ لینے کو ترجیح دیتے ہیں، حالانکہ پیش کردہ "چھوٹ" اکثر ادائیگیوں کو ناقابل برداشت حد تک وسیع سے لے کر آنکھوں میں پانی بھرنے والی بڑی حد تک کم کر دیتی ہے۔ مندرجہ بالا اعداد و شمار کی بنیاد پر اوسط طلب $130M/300 ہے، یا فی شکار $450,000 کے قریب ہے۔

ہسپتالوں کو منصفانہ ہدف سمجھا جاتا ہے۔

جیسا کہ DOJ بتاتا ہے، عام طور پر ransomware کے بہت سے گروہ، اور خاص طور پر Hive کا عملہ، کسی بھی اور تمام نیٹ ورکس کو بلیک میل کرنے کے لیے منصفانہ کھیل کے طور پر پیش کرتا ہے، اور عوامی طور پر مالی امداد سے چلنے والی تنظیموں جیسے کہ اسکولوں اور اسپتالوں پر بھی اسی زور و شور سے حملہ کرتا ہے جو وہ ان کے خلاف استعمال کرتے ہیں۔ امیر ترین تجارتی کمپنیاں:

[T]Hive ransomware گروپ نے دنیا کے 1500 سے زیادہ ممالک میں 80 سے زیادہ متاثرین کو نشانہ بنایا ہے، جن میں ہسپتال، اسکول کے اضلاع، مالیاتی فرموں اور اہم انفراسٹرکچر شامل ہیں۔

بدقسمتی سے، اگرچہ ایک جدید سائبر کرائم گینگ میں دراندازی کرنے سے آپ کو گینگ کے TTPs کے بارے میں شاندار بصیرت مل سکتی ہے (اوزار، تکنیک اور طریقہ کار)، اور – جیسا کہ اس معاملے میں ہے – آپ کو بلیک میلنگ کے اس عمل کو ناکام بنا کر ان کی کارروائیوں میں خلل ڈالنے کا موقع فراہم کرتا ہے جس پر وہ بھتہ خوری کے مطالبات مبنی ہوتے ہیں…

… یہاں تک کہ ایک گینگ ایڈمنسٹریٹر کا مجرموں کے ڈارک ویب پر مبنی IT انفراسٹرکچر کا پاس ورڈ جاننا بھی آپ کو یہ نہیں بتاتا کہ یہ انفراسٹرکچر کہاں پر ہے۔

دو طرفہ تخلص

ڈارک ویب کے عظیم/ خوفناک پہلوؤں میں سے ایک (اس بات پر منحصر ہے کہ آپ اسے کیوں استعمال کر رہے ہیں، اور آپ کس طرف ہیں)، خاص طور پر ٹار (مختصرا پیاز روٹر) نیٹ ورک جسے آج کے رینسم ویئر مجرموں کی طرف سے بڑے پیمانے پر پسند کیا جاتا ہے، آپ اسے دو طرفہ تخلص نامی کہہ سکتے ہیں۔

ڈارک ویب نہ صرف ان صارفین کی شناخت اور مقام کی حفاظت کرتا ہے جو اس پر میزبان سرورز سے جڑتے ہیں، بلکہ سرورز کے مقام کو خود آنے والے کلائنٹس سے بھی چھپاتے ہیں۔

جب آپ لاگ ان ہوتے ہیں تو سرور (زیادہ تر حصے کے لیے، کم از کم) نہیں جانتا کہ آپ کون ہیں، یہی چیز سائبر کرائم سے وابستہ اور ڈارک ویب ڈرگ خریداروں جیسے کلائنٹس کو اپنی طرف متوجہ کرتی ہے، کیونکہ وہ محسوس کرتے ہیں کہ وہ محفوظ طریقے سے کاٹنے اور چلانے کے قابل، یہاں تک کہ اگر بنیادی گینگ آپریٹرز پکڑے جائیں۔

اسی طرح، بدمعاش سرور آپریٹرز اس حقیقت کی طرف متوجہ ہوتے ہیں کہ یہاں تک کہ اگر ان کے کلائنٹس، ملحقہ یا اپنے سیسڈمینز کا پردہ فاش ہو جائے، یا پھر قانون نافذ کرنے والے اداروں کے ذریعے ہیک ہو جائے، وہ یہ ظاہر نہیں کر پائیں گے کہ گروہ کے بنیادی ارکان کون ہیں، یا وہ کہاں ہیں۔ ان کی بدنیتی پر مبنی آن لائن سرگرمیوں کی میزبانی کریں۔

آخر کار ہٹانا

ٹھیک ہے، ایسا لگتا ہے کہ کل کی DOJ کی پریس ریلیز کی وجہ یہ ہے کہ FBI کے تفتیش کاروں نے، جرمنی اور نیدرلینڈز دونوں میں قانون نافذ کرنے والے اداروں کی مدد سے، اب ان ڈارک ویب سرورز کی نشاندہی، ان کا پتہ لگایا اور ضبط کر لیا ہے جنہیں Hive گینگ استعمال کر رہا تھا:

آخر کار، محکمے نے آج اعلان کیا کہ، جرمن قانون نافذ کرنے والے ادارے (جرمن فیڈرل کریمنل پولیس اور ریوٹلنگن پولیس ہیڈ کوارٹر-سی آئی ڈی ایسلنگن) اور نیدرلینڈز نیشنل ہائی ٹیک کرائم یونٹ کے ساتھ مل کر، اس نے اپنے کنٹرول پر قبضہ کر لیا ہے۔ سرورز اور ویب سائٹس جو Hive اپنے اراکین کے ساتھ بات چیت کرنے کے لیے استعمال کرتی ہے، Hive کی متاثرین پر حملہ کرنے اور ان سے لوٹنے کی صلاحیت کو متاثر کرتی ہے۔

کیا کیا جائے؟

ہم نے یہ مضمون یورپ میں ایف بی آئی اور اس کے قانون نافذ کرنے والے شراکت داروں کی تعریف کرنے کے لیے لکھا ہے کہ انہوں نے اس حد تک رسائی حاصل کی…

…تفتیش کرنا، دراندازی کرنا، دوبارہ تلاش کرنا، اور آخر کار اس بدنام زمانہ رینسم ویئر کے عملے کے موجودہ انفراسٹرکچر کو تباہ کرنے کے لیے ان کے نصف ملین ڈالر کی اوسط بلیک میلنگ ڈیمانڈز، اور ہسپتالوں کو اتنی ہی آسانی سے نکالنے کی ان کی رضامندی جس طرح وہ کسی کا پیچھا کرتے ہیں۔ دوسرے کا نیٹ ورک

بدقسمتی سے، آپ نے شاید پہلے ہی یہ کلچ سنا ہوگا۔ سائبر کرائم ایک خلا سے نفرت کرتا ہے۔اور یہ افسوسناک طور پر رینسم ویئر آپریٹرز کے لیے اتنا ہی سچ ہے جتنا کہ آن لائن جرائم کے کسی دوسرے پہلو کے لیے ہے۔

اگر گینگ کے بنیادی ارکان کو گرفتار نہیں کیا جاتا ہے، تو وہ تھوڑی دیر کے لیے خاموش رہ سکتے ہیں، اور پھر نئے سرورز کے ساتھ ایک نئے نام سے (یا شاید جان بوجھ کر اور تکبر کے ساتھ اپنے پرانے "برانڈ" کو بحال کر سکتے ہیں)، جو کہ ایک بار پھر سے قابل رسائی ہے۔ ڈارک ویب لیکن ایک نئے اور اب نامعلوم مقام پر۔

یا دیگر ransomware گینگ اپنی کارروائیوں میں آسانی سے اضافہ کریں گے، اس امید میں کہ کچھ ایسے "ملحقہ اداروں" کو اپنی طرف متوجہ کریں جو اچانک ان کے منافع بخش غیر قانونی آمدنی کے سلسلے کے بغیر رہ گئے تھے۔

کسی بھی طرح سے، اس طرح کے ٹیک ڈاؤنز کی ہمیں فوری طور پر ضرورت ہے، جس کے ہونے پر ہمیں خوش کرنے کی ضرورت ہے، لیکن اس سے مجموعی طور پر سائبر کرائمینالٹی کو عارضی طور پر کم کرنے کا امکان نہیں ہے۔

رینسم ویئر کے بدمعاش ہماری معیشت سے اس رقم کو کم کرنے کے لیے، ہمیں سائبر کرائم کی روک تھام کا مقصد بنانا ہوگا، نہ کہ محض علاج۔

ممکنہ رینسم ویئر حملوں کا پتہ لگانا، ان کا جواب دینا اور اس طرح روکنا ان کے شروع ہونے سے پہلے، یا ان کے سامنے آنے کے دوران، یا حتیٰ کہ بالکل آخری لمحے میں، جب بدمعاش آپ کے نیٹ ورک پر فائلوں کو چھیڑنے کے حتمی عمل کو ختم کرنے کی کوشش کرتے ہیں، ہمیشہ بہتر ہوتا ہے۔ ایک حقیقی حملے سے صحت یاب ہونے کی کوشش کا دباؤ۔

کراٹے کڈ فیم کے مسٹر میاگی کے طور پر، جان بوجھ کر تبصرہ کیا, "مکے سے بچنے کا بہترین طریقہ - وہاں نہ ہو۔"

---

ابھی سنیں: سائبر کرائم فائٹر کی زندگی کا ایک دن

پال ڈکلن بات کر رہے ہیں۔ پیٹر میکنزی, Sophos میں واقع کے ردعمل کے ڈائریکٹر، ایک سائبرسیکیوریٹی سیشن میں جو آپ کو خطرے کی گھنٹی، تفریح ​​اور تعلیم فراہم کرے گا، سب کچھ یکساں طور پر۔

ransomware کے بدمعاشوں کو روکنے کا طریقہ سیکھیں اس سے پہلے کہ وہ آپ کو روکیں! (مکمل نقل دستیاب.)

---

سائبرسیکیوریٹی خطرے کے ردعمل کا خیال رکھنے کے لیے وقت یا مہارت کی کمی؟ پریشان ہیں کہ سائبرسیکیوریٹی آپ کو ان تمام چیزوں سے ہٹا دے گی جن کی آپ کو ضرورت ہے؟ یقین نہیں ہے کہ ایسے ملازمین کی سیکیورٹی رپورٹس کا جواب کیسے دیا جائے جو حقیقی طور پر مدد کے خواہشمند ہیں؟

کے بارے میں مزید معلومات حاصل کریں سوفوس نے کھوج اور جواب کا انتظام کیا۔:
24/7 خطرے کا شکار، پتہ لگانے، اور ردعمل  ▶

---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://nakedsecurity.sophos.com/2023/01/27/hive-ransomware-servers-shut-down-at-last-says-fbi/