2023 में, बॉटनेट मृत अवस्था में लौट आए, रैंसमवेयर अभिनेताओं ने चोरी से पैसा कमाने के रचनात्मक तरीके खोजे, और एक दशक से फरार चल रहे धमकी देने वाले अभिनेताओं ने प्रासंगिक बने रहने के लिए खुद को फिर से तैयार किया।
सिस्को टैलोस के खतरा खुफिया विशेषज्ञों ने 2023 से प्रमुख विकासों का विश्लेषण किया है और उन्हें वार्षिक समीक्षा में सारांशित किया है जो पढ़ने लायक है। साइबर अपराध वर्ष 2023 के लिए मानक कार्य उन सबसे महत्वपूर्ण रुझानों पर प्रकाश डालता है जिन्होंने पिछले साल खतरे के परिदृश्य को आकार दिया।
रैंसमवेयर हमला वेक्टर
2023 में कंपनियों के लिए सबसे बड़ा खतरा अभी भी रैनसमवेयर से बना हुआ है। लगातार दूसरे वर्ष, लॉकबिट ने इस क्षेत्र में एक अपमानजनक शीर्ष स्थान प्राप्त किया। और हमेशा की तरह, हमलावरों ने उन सुविधाओं पर ध्यान केंद्रित किया जिनके पास सीमित साइबर सुरक्षा संसाधन हैं या जो थोड़ा डाउनटाइम सहन कर सकते हैं - विशेष रूप से स्वास्थ्य सेवा क्षेत्र में। हालाँकि, 2023 में सब कुछ सामान्य नहीं था: क्लॉप जैसे अभिनेता शून्य-दिन के कारनामों पर निर्भर थे। ऐसा व्यवहार आमतौर पर एडवांस्ड पर्सिस्टेंट थ्रेट्स (एपीटी) समूहों की गतिविधि से जुड़ा होता है। नई बात यह भी थी कि रैंसमवेयर अभिनेताओं ने शुद्ध ब्लैकमेल करना शुरू कर दिया और एन्क्रिप्शन भाग को छोड़ दिया।
जर्मनी में सिस्को टैलोस के तकनीकी नेता होल्गर अनटरब्रिंक कहते हैं, "दुर्भाग्य से, 2023 में, 0-दिन वाले हमले अब राष्ट्र-राज्य हमलावरों तक सीमित नहीं रहेंगे।" “यदि लक्ष्य आकर्षक है, तो क्राइमवेयर गिरोह 0-दिनों के भीतर फिर से हमला करेंगे। कंपनियों को अपनी सुरक्षा वास्तुकला और जोखिम प्रबंधन में इसे ध्यान में रखना चाहिए।"
हमलावर अपनी रणनीतियाँ अपनाते हैं
सिस्को टैलोस के टेलीमेट्री डेटा से पता चलता है कि रैंसमवेयर फैलाने के लिए काकबोट और आइसेडआईडी जैसे प्रसिद्ध परिवारों के कमोडिटी लोडर का उपयोग जारी रखा गया है। हालाँकि, इन लोडरों ने बैंकिंग ट्रोजन के रूप में अपने अतीत के सभी अवशेषों को त्याग दिया है और अब खुद को पेलोड डेटा संचारित करने के लिए सुरुचिपूर्ण उपकरण के रूप में प्रस्तुत करते हैं। डेवलपर्स और ऑपरेटर बेहतर सुरक्षा को अपनाने में सक्षम हुए हैं और बार-बार होने वाले सुरक्षा अपडेट से बचने के लिए नए तरीके खोजे हैं। जिस गति से रैंसमवेयर समूह खोजी सफलताओं से उबरने में सक्षम हुए वह भी आश्चर्यजनक थी। अगस्त 2023 में क्वैकबॉट नेटवर्क का विघटन केवल थोड़े समय के लिए प्रभावी था। टैलोस के विश्लेषण से पता चलता है कि कानून प्रवर्तन कार्रवाइयों ने Qakbot ऑपरेटरों के स्पैम भेजने वाले बुनियादी ढांचे को प्रभावित नहीं किया है, बल्कि केवल उनके कमांड और नियंत्रण (C2) सर्वर को प्रभावित किया है।
नेटवर्क उपकरणों और पुरानी कमजोरियों को लक्षित किया गया
एपीटी और रैंसमवेयर अभिनेताओं द्वारा नेटवर्क उपकरणों पर हमलों में वृद्धि एक नई और अंतर-क्षेत्रीय प्रवृत्ति है। दोनों समूहों ने उपकरणों में कमजोरियों और कमजोर या गलत क्रेडेंशियल्स पर ध्यान केंद्रित किया। इससे पता चलता है कि नेटवर्क सिस्टम हमलावरों के लिए बेहद मूल्यवान हैं - चाहे उनके विशिष्ट इरादे कुछ भी हों।
जब एप्लिकेशन की कमजोरियों का फायदा उठाने की बात आती है, तो टैलोस विश्लेषण से पता चलता है कि 2023 में हमलावर मुख्य रूप से पुरानी कमजोरियों को लक्षित कर रहे थे - कमजोरियां जो दस या अधिक वर्षों से ज्ञात हैं, लेकिन कई मामलों में अभी भी पैच नहीं किया गया है। सबसे आम तौर पर हमला की जाने वाली अधिकांश कमजोरियों को सिस्को केना और कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) द्वारा अधिकतम या उच्च गंभीरता के रूप में मूल्यांकित किया गया है, और सीआईएसए की ज्ञात कमजोरियों की सूची में भी सूचीबद्ध किया गया है।
फ़िशिंग और बिज़नेस ईमेल कॉम्प्रोमाइज़ (बीईसी) जैसे कार्यों के लिए सोशल इंजीनियरिंग का उपयोग भी 2023 में बेरोकटोक जारी रहा। हालाँकि, 2022 में Microsoft द्वारा डिफ़ॉल्ट रूप से मैक्रोज़ को अक्षम करने के परिणामस्वरूप, हमलावर अपने मैलवेयर को छिपाने के लिए अन्य फ़ाइल प्रकारों का तेजी से उपयोग कर रहे हैं। इस वर्ष पीडीएफ़ सबसे अधिक बार अवरुद्ध फ़ाइल एक्सटेंशन थे।
एपीटी गतिविधियाँ भू-राजनीतिक अस्थिरता को प्रदर्शित करती हैं
चीन, रूस और मध्य पूर्व के एपीटी समूहों का विश्लेषण सिस्को टैलोस रिपोर्ट 2023 में काफी जगह लेता है। टेलीमेट्री डेटा स्पष्ट रूप से भू-राजनीतिक घटनाओं के समानांतर संदिग्ध डेटा ट्रैफ़िक में वृद्धि को दर्शाता है। एशिया-प्रशांत क्षेत्र के देशों के साथ पश्चिम के बढ़ते तनावपूर्ण संबंधों के कारण चीन के एपीटी समूहों द्वारा नुकसान पहुंचाने की इच्छा बढ़ गई है - विशेष रूप से ताइवान जैसे देशों में महत्वपूर्ण बुनियादी ढांचे के क्षेत्र में।
जहां तक रूसी एपीटी का सवाल है, गेमरेडॉन और टुरला ने उम्मीद के मुताबिक यूक्रेन को निशाना बनाया। हालाँकि, दिलचस्प बात यह है कि रूसी गतिविधियों ने अपनी विनाशकारी साइबर क्षमताओं की पूरी श्रृंखला प्रदर्शित नहीं की। गेमरेडॉन ने मुख्य रूप से उत्तरी अमेरिका और यूरोप में सुविधाओं को लक्षित किया, जिसमें पश्चिमी यूरोप में पीड़ितों की संख्या अनुपातहीन थी। ईरानी राज्य प्रायोजित एपीटी अभिनेता मड्डीवाटर 2023 में एक प्रमुख मध्य पूर्वी खतरा अभिनेता बना रहा। हालाँकि, उद्योग के जवाबी कदमों ने समूह की अपने मानक उपकरणों का उपयोग करने की क्षमता को प्रभावित किया है, जिसमें सिंक्रो रिमोट मैनेजमेंट और मॉनिटरिंग (आरएमएम) प्लेटफॉर्म भी शामिल है।
हमास और इज़राइल के बीच अक्टूबर 2023 की शुरुआत में हुई घटनाओं ने कई राजनीतिक रूप से प्रेरित हैक्टिविस्ट समूहों को दोनों पक्षों के खिलाफ असंगठित और अधिकतर अपरिष्कृत हमले शुरू करने में योगदान दिया। इसी तरह का विकास रूस-यूक्रेन युद्ध की शुरुआत में भी देखा जा सकता था। सिस्को टैलोस को उम्मीद है कि मध्य पूर्व में जटिल और गतिशील भू-राजनीतिक वातावरण साइबर डोमेन पर भी प्रभाव डालेगा।
टैलोस रिपोर्ट से अतिरिक्त जानकारी:
वैध खातों का उपयोग सबसे आम तौर पर देखी जाने वाली MITER ATT&CK तकनीकों में से एक है, जो इस बात पर प्रकाश डालती है कि हमलावर अपने हमलों के विभिन्न चरणों में समझौता किए गए क्रेडेंशियल्स पर भरोसा करते हैं।
नए रैंसमवेयर वेरिएंट में अन्य RaaS समूहों से लीक हुए स्रोत कोड का उपयोग किया गया। इसने कम अनुभवी अभिनेताओं को भी रैंसमवेयर एक्सटॉर्शन के साथ शुरुआत करने में सक्षम बनाया।
संदिग्ध नेटवर्क ट्रैफ़िक ने गतिविधि में तेज वृद्धि देखी जो प्रमुख भू-राजनीतिक घटनाओं और वैश्विक साइबर हमलों के साथ मेल खाती है - जैसे कि माइक्रोसॉफ्ट आउटलुक पर बड़े पैमाने पर DDoS हमला।
सिस्को के बारे में सिस्को दुनिया की अग्रणी प्रौद्योगिकी कंपनी है जो इंटरनेट को संभव बनाती है। सिस्को वैश्विक और समावेशी भविष्य के लिए अनुप्रयोगों, डेटा सुरक्षा, बुनियादी ढांचे के परिवर्तन और टीमों के सशक्तिकरण के लिए नई संभावनाएं खोल रहा है।
विषय से संबंधित लेख