رینسم ویئر کے متاثرین خطرے کے اداکاروں کے طور پر صفر ڈے کے کارناموں کے محور کے طور پر بڑھ رہے ہیں

143 کی پہلی سہ ماہی اور اس سال کی پہلی سہ ماہی کے درمیان رینسم ویئر حملوں کا شکار بننے والی تنظیموں کی تعداد میں 2022 فیصد اضافہ ہوا، کیونکہ حملہ آوروں نے تیزی سے صفر دن کی کمزوریوں اور ٹارگٹ نیٹ ورکس کو توڑنے کے لیے ایک دن کی خامیوں کا فائدہ اٹھایا۔

ان میں سے بہت سے حملوں میں، دھمکی دینے والے اداکاروں نے متاثرہ تنظیموں سے تعلق رکھنے والے ڈیٹا کو خفیہ کرنے کی اتنی زحمت نہیں کی۔ اس کے بجائے، انہوں نے اپنے حساس ڈیٹا کو چوری کرنے اور دوسروں کو ڈیٹا بیچنے یا لیک کرنے کی دھمکی دے کر متاثرین سے بھتہ لینے پر توجہ مرکوز کی۔ اس حربے نے ان لوگوں کو بھی چھوڑ دیا جن کو بصورت دیگر مضبوط بیک اپ اور بحالی کے عمل کی حمایت حاصل تھی۔

متاثرین میں اضافہ

اکامائی کے محققین رجحانات کو دریافت کیا جب انہوں نے حال ہی میں 90 رینسم ویئر گروپس سے تعلق رکھنے والی لیک سائٹس سے جمع کردہ ڈیٹا کا تجزیہ کیا۔ لیکس سائٹیں ایسی جگہیں ہیں جہاں رینسم ویئر گروپس عام طور پر اپنے حملوں، متاثرین، اور کسی بھی ڈیٹا کے بارے میں تفصیلات جاری کرتے ہیں جسے انہوں نے انکرپٹ یا خارج کیا ہو۔

اکامائی کے تجزیے سے پتہ چلتا ہے کہ رینسم ویئر حملوں کے بارے میں کئی مشہور تصورات اب مکمل طور پر درست نہیں ہیں۔ سب سے اہم میں سے ایک، کمپنی کے مطابق، فشنگ سے ابتدائی رسائی کے ویکٹر کے طور پر کمزوری کے استحصال میں تبدیلی ہے۔ اکامائی نے پایا کہ کئی بڑے رینسم ویئر آپریٹرز اپنے حملوں میں استعمال کرنے کے لیے - یا تو اندرونِ خانہ تحقیق کے ذریعے یا اسے گرے مارکیٹ کے ذرائع سے حاصل کرکے - صفر دن کی کمزوریوں کو حاصل کرنے پر مرکوز ہیں۔

ایک قابل ذکر مثال Cl0P ransomware گروپ ہے، جس نے فورٹرا کے GoAnywhere سافٹ ویئر (CVE-2023-0669) اس سال کے شروع میں متعدد ہائی پروفائل کمپنیوں میں توڑنے کے لئے. مئی میں، اسی دھمکی آمیز اداکار نے ایک اور صفر دن کے بگ کا غلط استعمال کیا جسے اس نے دریافت کیا - اس بار پروگریس سافٹ ویئر کی MOVEIt فائل ٹرانسفر ایپلی کیشن میں (CVE-2023-34362) — عالمی سطح پر درجنوں بڑی تنظیموں میں دراندازی کرنا۔ اکامائی نے پایا کہ 0 کی پہلی سہ ماہی اور اس سال کی پہلی سہ ماہی کے درمیان Cl2022p کے شکار کی تعداد میں نو گنا اضافہ ہوا جب اس نے صفر دن کے کیڑے کا استحصال شروع کیا۔

اکامائی نے کہا کہ اگرچہ صفر دن کی کمزوریوں کا فائدہ اٹھانا کوئی خاص نئی بات نہیں ہے، لیکن رینسم ویئر کے اداکاروں کے درمیان ان کو بڑے پیمانے پر حملوں میں استعمال کرنے کا ابھرتا ہوا رجحان نمایاں ہے۔

اکامائی سیکیورٹی ریسرچ کی کور ٹیم کے سربراہ ایلیاد کمہی کہتے ہیں، "خاص طور پر صفر دن کے خطرات کی اندرونی نشوونما سے متعلق ہے۔" "ہم اسے Cl0p کے ساتھ ان کے دو حالیہ بڑے حملوں کے ساتھ دیکھتے ہیں، اور ہم توقع کرتے ہیں کہ دوسرے گروپس بھی اس کی پیروی کریں گے اور اس قسم کے خطرات کو خریدنے اور ان کا ذریعہ بنانے کے لیے اپنے وسائل کا فائدہ اٹھائیں گے۔"

دوسری صورتوں میں، رینسم ویئر کی بڑی تنظیمیں جیسے LockBit اور ALPHV (عرف بلیک کیٹ) نے نئی انکشاف شدہ کمزوریوں پر چھلانگ لگا کر تباہی مچا دی، اس سے پہلے کہ تنظیموں کو ان کے لیے وینڈر کی اصلاح کا اطلاق کرنے کا موقع ملے۔ اس طرح کے "ایک دن" کے خطرات کی مثالوں میں شامل ہیں۔ اپریل 2023 کے پیپر کٹ کے خطرات (CVE-2023-27350 اور CVE-2023-27351) اور VMware کے ESXi سرورز میں کمزوریاں جن کا ESXiArgs مہم کے آپریٹر نے استحصال کیا۔

خفیہ کاری سے Exfiltration تک محور

اکامائی نے یہ بھی پایا کہ کچھ رینسم ویئر آپریٹرز - جیسے کہ BianLian مہم کے پیچھے والے - مکمل طور پر ڈیٹا انکرپشن سے محور ہیں۔ ڈیٹا چوری کے ذریعے بھتہ وصول کرنا. سوئچ کے اہم ہونے کی وجہ یہ ہے کہ ڈیٹا انکرپشن کے ساتھ، تنظیموں کے پاس اپنے مقفل ڈیٹا کو دوبارہ حاصل کرنے کا موقع تھا اگر ان کے پاس ڈیٹا بیک اپ اور بحالی کا کافی مضبوط عمل ہو۔ ڈیٹا کی چوری کے ساتھ، تنظیموں کے پاس یہ موقع نہیں ہوتا ہے اور اس کے بجائے یا تو اسے ادا کرنا ہوگا یا خطرے والے اداکاروں کو ان کا ڈیٹا عوامی طور پر لیک کرنے کا خطرہ ہے - یا اس سے بھی بدتر، اسے دوسروں کو فروخت کرنا ہوگا۔

کمہی کا کہنا ہے کہ بھتہ خوری کی تکنیکوں میں تنوع قابل ذکر ہے۔ "ڈیٹا کا اخراج اضافی فائدہ کے طور پر شروع ہوا تھا جو فائلوں کی خفیہ کاری کے لیے کچھ طریقوں سے ثانوی تھا،" کِمی نوٹ کرتے ہیں۔ "آج کل ہم دیکھتے ہیں کہ اسے بھتہ خوری کے لیے بنیادی فائدہ کے طور پر استعمال کیا جا رہا ہے، جس کا مطلب ہے کہ فائل بیک اپ، مثال کے طور پر، کافی نہیں ہو سکتا۔"

اکامائی کے ڈیٹاسیٹ میں متاثرین میں سے زیادہ تر - ان میں سے تقریباً 65%، درحقیقت - $50 ملین تک کی آمدنی کے ساتھ درمیانے سائز کے کاروبار کے لیے چھوٹے تھے۔ بڑی تنظیمیں، جنہیں اکثر رینسم ویئر کے سب سے بڑے اہداف کے طور پر سمجھا جاتا ہے، دراصل متاثرین میں سے صرف 12 فیصد ہیں۔ مینوفیکچرنگ کمپنیوں نے حملوں کی غیر متناسب فیصد کا تجربہ کیا، اس کے بعد صحت کی دیکھ بھال کرنے والے اداروں اور مالیاتی خدمات کی فرموں نے۔ اہم بات یہ ہے کہ اکامائی نے پایا کہ جو تنظیمیں رینسم ویئر حملے کا تجربہ کرتی ہیں ان میں پہلے حملے کے تین ماہ کے اندر دوسرے حملے کا امکان بہت زیادہ ہوتا ہے۔

کمہی کا کہنا ہے کہ اس بات پر زور دینا ضروری ہے کہ فشنگ کے خلاف دفاع کے لیے ابھی بھی بہت اہم ہے۔ ایک ہی وقت میں، تنظیموں کو نئے انکشاف شدہ خطرات کی پیچیدگی کو ترجیح دینے کی ضرورت ہے۔ وہ مزید کہتے ہیں، "[T] وہی سفارشات جو ہم پیش کر رہے ہیں اب بھی لاگو ہوتے ہیں، جیسے کہ مخالف کو سمجھنا، خطرے کی سطحیں، استعمال شدہ، پسندیدہ اور تیار کردہ تکنیک، اور خاص طور پر آپ کو کن پروڈکٹس، پروسیسز، اور لوگوں کو تیار کرنے کی ضرورت ہے۔ جدید رینسم ویئر حملے کو روکیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits