कॉन्टी रैंसमवेयर के साथ करीब और व्यक्तिगत होने के पांच दिन: तीन रिपोर्टों में, सोफोस ने एक वास्तविक कॉन्टी रैंसमवेयर हमले की प्रक्रिया और इसे कैसे रोका गया, इसका विस्तार से वर्णन किया है। इसके अलावा शामिल हैं: हमले का व्यवहार, तकनीकी पृष्ठभूमि और आईटी प्रशासकों के लिए व्यावहारिक सुझाव।
कॉन्टी रैंसमवेयर हमले, जो पिछले साल के मध्य से तेजी से शरारत कर रहे हैं, इस बात का एक प्रभावशाली उदाहरण है कि कैसे साइबर अपराधी लक्षित तरीके से अपने हमले की योजना बनाने के लिए आधुनिक और परिष्कृत तकनीक का उपयोग करते हैं और इस तरह कॉर्पोरेट नेटवर्क में सफलतापूर्वक घुसने की उनकी संभावनाओं में काफी सुधार करते हैं। तीन विस्तृत रिपोर्टों में, सोफोस रैपिड रिस्पांस टीम एक वास्तविक हमले का वर्णन करती है और पांच दिनों में यह कैसे सामने आया: "यह एक बहुत तेज़ और संभावित विनाशकारी हमला था," सोफोस रैपिड रिस्पांस के प्रबंधक पीटर मैकेंज़ी कहते हैं। “हमारी फोरेंसिक जांच के दौरान, हमने देखा कि हमलावरों ने नेटवर्क से समझौता करने और केवल 16 मिनट में डोमेन प्रशासन डेटा तक पहुंच प्राप्त करने के लिए फ़ायरवॉल में कमजोरियों का फायदा उठाया। उसके बाद, हमलावरों ने कोबाल्ट स्ट्राइक एजेंटों को सर्वर पर तैनात किया जो रैंसमवेयर हमले की रीढ़ बनेंगे।
की-बोर्ड पर रहते हैं साइबर अटैकर
इस हमले की खास बात यह थी कि साइबर अपराधियों ने इसे खुद नियंत्रित किया और सब कुछ एक स्वचालित रूटीन पर नहीं छोड़ा। इन मानव-नियंत्रित हमलों के साथ, हमलावर वास्तविक समय में बदलती स्थितियों के अनुकूल और प्रतिक्रिया कर सकते हैं। इस तरह के लचीलेपन के साथ, इन हमलों के सफल होने की संभावना अधिक होती है, और पीड़ितों को सिर्फ इसलिए आश्वस्त महसूस नहीं होता है क्योंकि शुरुआती हमले के प्रयास का पता चला और उसे विफल कर दिया गया। क्योंकि तब होता है जो निम्नलिखित डायरी में वास्तविक कोंटी रैंसमवेयर हमले के बारे में वर्णित है - सौभाग्य से इस मामले में एक सुखद अंत के साथ।
हमले का दिन 1
हमलावर फ़ायरवॉल में प्रवेश करते हैं और पीड़ित के दो सर्वरों पर व्यवस्थापक खाते को हाईजैक करने के लिए केवल 16 मिनट की आवश्यकता होती है। इसके बाद वे पहले सर्वर पर एक कोबाल्ट स्ट्राइक एजेंट तैनात करते हैं जब तक कि यह हमला पीड़ित द्वारा देखा और रोका नहीं जाता। केवल 15 मिनट बाद, हमलावर दूसरे सर्वर पर अपनी कार्रवाई दोहराते हैं और यह हमला किसी का ध्यान नहीं जाता है। एक बार जब वे दरवाजे में अपना पैर जमा लेते हैं, तो हमलावर पीड़ित के कॉर्पोरेट नेटवर्क के माध्यम से "छीन" लेते हैं और एक तीसरे सर्वर को संक्रमित कर देते हैं।
हमले का दिन 2
पीड़ित द्वारा किसी भी हमले की गतिविधियों पर ध्यान नहीं दिया जाता है।
हमले का दिन 3
हमलावर संभावित रूप से दिलचस्प जानकारी वाले फ़ाइल फ़ोल्डरों के लिए लगभग दस घंटे तक देखते हैं और उन्हें वैध खुले स्रोत प्रबंधन उपकरण RClone का उपयोग करके निकालते हैं, जिसे तीसरे अपहृत सर्वर पर किसी का ध्यान नहीं गया था। अन्य बातों के अलावा, वित्त, मानव संसाधन और आईटी विभागों के डेटा प्रभावित होते हैं।
हमले का दिन 4
पहले दिन से एंडपॉइंट और सर्वर संरचना के बारे में उन्होंने जो सीखा, उसका उपयोग करते हुए, हमलावर पहले रैंसमवेयर का परीक्षण करने के लिए चौथे सर्वर पर कोबाल्ट स्ट्राइक एजेंट स्थापित करते हैं। सफलता संदेश के बाद, वे लगभग 1 उपकरणों पर कोबाल्ट स्ट्राइक स्थापित करते हैं और 300 मिनट के बाद कोंटी रैंसमवेयर लॉन्च करते हैं। समझौता किए गए समापन बिंदु कोड को विभिन्न कमांड और नियंत्रण पतों से लोड करते हैं और इसे निष्पादित करते हैं। इसके बारे में विश्वासघाती बात: हार्ड डिस्क पर कोई डेटा नहीं लिखा जाता है, लेकिन पहचान से बचने के लिए रैंसमवेयर को सीधे मुख्य मेमोरी में निष्पादित किया जाता है। रैंसमवेयर तब तीन घंटे के लिए डेटा को एन्क्रिप्ट करने की कोशिश करता है, लेकिन आपत्तिजनक रणनीति के बावजूद सोफोस इंटरसेप्ट एक्स से सुरक्षित कंप्यूटरों पर ब्लॉक हो जाता है। हमला करने वाली कंपनी सोफोस एप्लिकेशन को छोड़कर इंटरनेट कनेक्शन काट देती है, महत्वपूर्ण बुनियादी ढांचे को बंद कर देती है और कार्य प्रक्रियाओं को रोक देती है। सोफोस रैपिड रिस्पांस टीम को बुलाया जाता है, संक्रमित समापन बिंदुओं और सर्वरों की पहचान करता है, विभिन्न हमले प्रक्रियाओं को रोकता है और समझौता किए गए क्षेत्रों को पुनर्स्थापित करना शुरू करता है।
हमले का दिन 5
रैपिड रिस्पांस टास्क फोर्स द्वारा अंतिम जांच एक दूसरे संभावित डेटा एक्सफिल्ट्रेशन, एक दूसरे समझौता किए गए खाते और संदिग्ध फ़ायरवॉल के माध्यम से संदिग्ध RDP (रिमोट डेस्कटॉप प्रोटोकॉल) ट्रैफ़िक की पहचान करती है। उसी समय, पीड़ित असुरक्षित समापन बिंदुओं को पुनर्स्थापित करता है और महत्वपूर्ण बुनियादी ढांचे को बूट करता है।
कहानी का नैतिक
रैंसमवेयर के हमले में अक्सर आईटी प्रशासक सीधे निशाने पर होते हैं। वे वे हैं जो सुबह काम पर आते हैं और फिरौती के नोट के साथ सब कुछ एन्क्रिप्टेड पाते हैं। अपनी रैपिड रिस्पांस टीम के अनुभव के आधार पर, सोफोस ने रैनसमवेयर हमले के बाद पहले घंटों और दिनों की चुनौतीपूर्ण चुनौतियों से निपटने के लिए एक कार्य सूची विकसित की है।
- साइबर अपराधियों को नेटवर्क तक पहुँचने से रोकने के लिए रिमोट डेस्कटॉप प्रोटोकॉल (RDP) को इंटरनेट से बंद कर दें।
- यदि आरडीपी तक पहुंच नितांत आवश्यक है, तो इसे वीपीएन कनेक्शन के माध्यम से सुरक्षित किया जाना चाहिए।
- बहुस्तरीय सुरक्षा उपाय - जिसमें एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) फ़ंक्शंस और नेटवर्क की 24/7 निगरानी के लिए प्रबंधित प्रतिक्रिया दल शामिल हैं - हमलों को रोकें और साइबर हमलों की सुरक्षा और पता लगाने में महत्वपूर्ण भूमिका निभाएं।
- ज्ञात प्रमुख संकेतकों की निरंतर निगरानी जो अक्सर रैंसमवेयर हमलों से पहले होती है।
- एक घटना प्रतिक्रिया योजना का निर्माण, जिसे आईटी अवसंरचना और कंपनी में परिवर्तनों के साथ लगातार अद्यतन किया जाना चाहिए।
- बहुत अधिक अनुभव वाले बाहरी विशेषज्ञ उत्कृष्ट सहायता प्रदान कर सकते हैं।
सोफोस से तीन कोंटी रैंसमवेयर रिपोर्ट
सोफोस की तीन रिपोर्ट में कॉन्टी रैनसमवेयर हमले का अलग-अलग दृष्टिकोण से वर्णन किया गया है और हमले की स्थिति में कार्रवाई के लिए ठोस निर्देश दिए गए हैं। अंग्रेजी भाषा की रिपोर्ट को निम्न लिंक से डाउनलोड किया जा सकता है:
कोंटी रैंसमवेयर हमले का समय:
एक कोंटी रैनसमवेयर हमला दिन-ब-दिन
सोफोसलैब्स कोंटी रैंसमवेयर की कपटपूर्ण प्रकृति पर तकनीकी जानकारी:
कोंटी रैनसमवेयर: स्वभाव से टालमटोल करने वाला
किसी हमले से निपटने के लिए आईटी प्रशासकों के लिए 12-सूत्रीय चेकलिस्ट सहित निर्देश:
जब आप कॉन्टी रैंसमवेयर से प्रभावित हों तो क्या अपेक्षा करें
Sophos.com पर और जानें
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।