लापरवाह कंपनियों को जल्दी से तीन गुना दंडित किया जाता है: पहला रैंसमवेयर जबरन वसूली, फिर डेटा हानि, और अंतिम लेकिन कम से कम, खराब रिकवरी योजना के लिए जुर्माना शुल्क। इस प्रकार जटिल रैंसमवेयर कंपनी के संसाधनों पर आक्रमण कर सकता है।
पिछले साल, रैंसमवेयर एक अमेरिकी कंपनी लेकर आया जो अपने घुटनों पर ईंधन का उत्पादन करती है। इसके पीछे कुख्यात डार्कसाइड समूह की आपराधिक "साझेदार कंपनियां" थीं। RaaS (एक सेवा के रूप में रैंसमवेयर) हमले का एक विशिष्ट उदाहरण: अपराधियों की एक छोटी सी कोर टीम मैलवेयर विकसित करती है, इसे अन्य बुरे लोगों के लिए उपलब्ध कराती है, और पीड़ितों के फिरौती को संभालती है। हालांकि, वे मैलवेयर डिलीवर करने वाले नेटवर्क पर वास्तविक हमला नहीं करते हैं। उनके "अपराध में भागीदार" इसका ध्यान रखते हैं, इसलिए बोलने के लिए, फील्ड स्टाफ। एक नियम के रूप में, बदले में उन्हें पीड़ितों से निकाले गए धन का बड़ा हिस्सा मिलता है।
RaaS: रैंसमवेयर के साथ अपराध में भागीदार
कोर ग्रुप, इस बीच, पृष्ठभूमि में अदृश्य रूप से दुबक जाता है, एक प्रकार का फ्रैंचाइज़ी ऑपरेशन चला रहा है, जहाँ वे आमतौर पर हर भुगतान का 30 प्रतिशत (अपने स्वयं के प्रवेश द्वारा) पॉकेट में डालते हैं।
फ्रंटलाइन टीम आमतौर पर ऐसा करती है
- तोड़ने के लिए संभावित लक्ष्यों को खोजने के लिए अनुसंधान करें।
- ज्ञात कमजोरियों वाली चुनिंदा कंपनियों में तोड़ें।
- नेटवर्क को तब तक स्कैन करें जब तक उन्हें आधिकारिक प्रशासकों के स्तर तक पहुंचने के लिए प्रशासनिक अधिकार नहीं मिल जाते।
- प्रत्येक व्यक्तिगत डेस्कटॉप पीसी और सर्वर सिस्टम को खोजने के लिए पूरे नेटवर्क को मैप करें।
- मौजूदा बैकअप का पता लगाएँ और अक्सर बेअसर करें।
- ब्लैकमेल में अतिरिक्त उत्तोलन के लिए गोपनीय कंपनी डेटा का बहिष्करण।
- हमलावरों के पकड़े जाने पर तुरंत पीछे हटने के लिए नेटवर्क बैकडोर तैयार करें।
- कमजोर या कमजोर स्थानों की तलाश में, मौजूदा मैलवेयर बचावों की सावधानीपूर्वक जांच करें।
- रास्ते में आने वाली सुरक्षा सेटिंग्स को बंद करें या कम से कम कम करें।
- कंपनी के लिए दिन के विशेष रूप से "असहज" समय का चयन, यानी सप्ताहांत में या रात में।
और फिर साइबर अपराधी पर्दे के पीछे मास्टरमाइंड द्वारा प्रदान किए गए रैंसमवेयर कोड को उजागर करते हैं। नेटवर्क में (लगभग) सभी कंप्यूटरों के एन्क्रिप्शन में कुछ ही मिनट लगते हैं।
रैंसमवेयर: कृपया चेकआउट करें!
इस प्रकार के हमले के पीछे विचार यह है कि कंप्यूटर पूरी तरह से मिटाए नहीं जाते हैं। वास्तव में, अधिकांश रैंसमवेयर हमलों के बाद, ऑपरेटिंग सिस्टम कंप्यूटर पर प्राथमिक अनुप्रयोगों को बूट करना और लोड करना जारी रखता है ताकि यह आभास हो सके कि सब कुछ सामान्य है।
पीड़ित अपने लैपटॉप को बूट कर सकता है, वर्ड लोड कर सकता है, निर्देशिकाओं में सभी दस्तावेज़ देख सकता है, यहां तक कि उन्हें खोलने का प्रयास भी कर सकता है, लेकिन फिर कटा हुआ गोभी के डिजिटल समकक्ष को देखेगा। डेटा एन्क्रिप्ट किया गया है और डिक्रिप्शन कुंजी की केवल एक प्रति है - और हमलावरों के पास है। यह तब होता है जब "बातचीत" आमतौर पर शुरू होती है। अपराधी इस तथ्य पर भरोसा करते हैं कि पीड़ित की आईटी अवसंरचना एन्क्रिप्टेड डेटा से इतनी बुरी तरह प्रभावित होती है कि यह अब कार्यात्मक नहीं है, और पीड़ित इसलिए फिरौती देने को तैयार है।
"हमें एक 'पुनर्प्राप्ति शुल्क' का भुगतान करें और हम आपको किसी भी कंप्यूटर को फिर से प्रयोग करने योग्य बनाने के लिए डिक्रिप्शन उपकरण प्रदान करेंगे - और हम आपको बैकअप से पुनर्स्थापित करने में लगने वाले समय की बचत करेंगे। जब तक आपके पास काम करने वाले बैकअप हैं।" उदाहरण के लिए, लगभग 12 महीने पहले अमेरिकी कंपनी में मांगें कुछ इस तरह की थीं।
केवल 4 प्रतिशत भुगतानकर्ताओं को ही सारा डेटा वापस मिलता है!
भले ही दुनिया भर में कानून प्रवर्तन एजेंसियां रैंसमवेयर पीड़ितों को भुगतान न करने की चेतावनी दे रही हैं (और अब हम जानते हैं कि आज के रैनसमवेयर भुगतान कल के रैंसमवेयर हमलों को निधि देते हैं), इस उदाहरण में कंपनी ने बिटकॉइन ट्रांसफर करने के लिए अनुरोधित लगभग $4,4 मिलियन खर्च करने का फैसला किया।
यह साल सोफोस रैंसमवेयर रिपोर्ट स्टेट ऑफ रैंसमवेयर 2022 खुलासा करता है कि दुनिया भर में केवल 4% भुगतानकर्ताओं को ही सारा डेटा वापस मिलता है। औसतन आपको केवल दो तिहाई (बिल्कुल: 60,56%) मिलते हैं। जर्मनी में, हिस्सेदारी 64% है। वैश्विक दृष्टिकोण से, यह मूल्य ऊर्जा आपूर्ति कंपनियों के लिए 62% (बिल्कुल: 61,59%) पर केवल थोड़ा अधिक है। इसका मतलब यह है कि अगर कोई कंपनी फिरौती का भुगतान करती है, तब भी उसे बहुत अधिक डेटा हानियों को स्वीकार करना पड़ता है। मामला यहीं खत्म नहीं होता।
फिरौती के बाद जुर्माना आया
सोफोस स्टेट ऑफ रैंसमवेयर 2022 (छवि: सोफोस)।
पाइपलाइन संचालक से एक आधिकारिक अपील भी की गई: अमेरिकी परिवहन विभाग ने कंपनी पर लगभग 1 मिलियन अमेरिकी डॉलर का नागरिक जुर्माना लगाया, जो पाइपलाइन और खतरनाक सामग्री सुरक्षा प्रशासन (PHMSA) द्वारा की गई एक जांच का परिणाम है। चेक जनवरी और नवंबर 2020 के बीच चला, यानी रैंसमवेयर हमले से पहले के साल में। इसलिए संस्थान ने जिन समस्याओं की पहचान की, वे मौजूद थीं और ज्ञात थीं। PHMSA ने कहा कि 85 प्रतिशत से अधिक चार्ज ($ 846,300) के लिए जिम्मेदार प्राथमिक परिचालन कमियां "मैन्युअल शटडाउन और इसकी पाइपलाइन प्रणाली को फिर से शुरू करने के लिए पर्याप्त रूप से योजना बनाने और तैयार करने में संभावित विफलता हैं।" और वह दावा करती है कि उन चूकों ने "मई 2021 के साइबर हमले के बाद पाइपलाइन के निष्क्रिय रहने पर राष्ट्रीय गिरावट में योगदान दिया।"
व्यक्तिगत मामला या सभी के लिए अनुशंसित कार्रवाई?
पहली नज़र में, यह एक असामान्य मामला लगता है, क्योंकि वास्तव में पाइपलाइन का संचालन कौन करता है, और फिर इस आयाम में भी। बहरहाल, एक संभावित उल्लंघन की आधिकारिक PHMSA सूचना सभी से सीखने के लिए कुछ संबंधित मुद्दों की पहचान करती है:
पाइपलाइन ऑपरेटर के लिए, समस्याएँ कंपनी के आंतरिक क्षेत्रों में हैं, जैसे पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण, औद्योगिक नियंत्रण प्रणाली और परिचालन तकनीक, तथाकथित SCADA (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण): कंप्यूटर सिस्टम जो स्वचालित रूप से निगरानी और नियंत्रण करता है तकनीकी प्रक्रियाओं और ऊर्जा आपूर्तिकर्ताओं से हवाई अड्डों पर उपयोग में है। आईसीएस (औद्योगिक नियंत्रण प्रणाली के लिए एक संक्षिप्त रूप) और ओटी (ऑपरेशनल टेक्नोलॉजी) की भी कमी थी। OT को IT के एक औद्योगिक समकक्ष के रूप में समझा जा सकता है, लेकिन SecOps (सिक्योरिटी ऑपरेशंस) दोनों प्रकार के लिए एक समान चुनौती है।
SecOps त्रुटियों के परिणाम
हालांकि परिचालन तकनीक और आईटी कार्य दो अलग-अलग नेटवर्क की तरह दिखाई देते हैं, एक क्षेत्र में SecOps की विफलताओं के संभावित परिणाम सीधे और यहां तक कि दूसरे क्षेत्र को खतरनाक रूप से प्रभावित कर सकते हैं।
इससे भी महत्वपूर्ण बात यह है कि विशेष रूप से कई छोटी कंपनियों के लिए, भले ही कोई पाइपलाइन, पावर ग्रिड या पावर प्लांट काम नहीं कर रहा हो, फिर भी सबसे अधिक संभावना है कि किसी प्रकार का परिचालन इंजीनियरिंग नेटवर्क काम कर रहा हो, जो सुरक्षा कैमरे, दरवाजे के ताले, गति जैसे IoT उपकरणों से बना हो। रिसेप्शन क्षेत्र में सेंसर, और शायद सुखदायक, कंप्यूटर नियंत्रित मछलीघर भी।
और ये आमतौर पर उसी नेटवर्क में संचालित होते हैं जिसमें संपूर्ण आईटी सिस्टम स्थित होता है। इस प्रकार दोनों प्रकार के उपकरणों के साइबर सुरक्षा उपाय एक दूसरे से जुड़े हुए हैं।
पांच बिंदु जो हर कंपनी को गंभीरता से लेने चाहिए
PHMSA रिपोर्ट उन मुद्दों को सूचीबद्ध करती है जो सभी छत्र शब्द नियंत्रण कक्ष प्रबंधन के अंतर्गत आते हैं, जिसे एक IT विभाग के नेटवर्क संचालन केंद्र (या केवल एक छोटे व्यवसाय में "IT टीम") के समकक्ष परिचालन तकनीक के रूप में माना जा सकता है।
संक्षेप में, ये पांच समस्याएं दांव पर हैं
- पारित परिचालन परीक्षणों का उचित रिकॉर्ड रखने में विफलता।
- अलार्म और विसंगति डिटेक्टरों के संचालन का परीक्षण और सत्यापन करने में विफलता।
- सिस्टम की विफलता के मामले में मैन्युअल पुनर्प्राप्ति और संचालन के लिए कोई आकस्मिक योजना नहीं।
- बैकअप प्रक्रियाओं और प्रक्रियाओं का परीक्षण करने में विफल।
- अनुपलब्ध या अस्थायी रूप से बंद किए गए सुरक्षा नियंत्रणों की खराब रिपोर्टिंग।
हम अपनी आईटी सुरक्षा के लिए इससे क्या सीख सकते हैं?
उपरोक्त में से कोई भी चूक आकस्मिक रूप से हो सकती है। सोफोस रैंसमवेयर रिपोर्ट 2022 के अनुसार, सर्वेक्षण में शामिल दो-तिहाई (बिल्कुल: 66%) ने कहा कि वे पिछले एक साल में रैंसमवेयर हमले के शिकार हुए हैं। ऊर्जा आपूर्ति क्षेत्र 75% के औसत से भी ऊपर था। उनमें से लगभग दो तिहाई ने अपना डेटा एन्क्रिप्ट किया था और उनमें से आधे ने अपराधियों के साथ बातचीत की थी।
इससे पता चलता है कि IT या SecOps टीमों के एक महत्वपूर्ण अनुपात (पांच में से एक से अधिक) ने उपरोक्त श्रेणियों में से एक या अधिक का ट्रैक खो दिया है।
इनमें आइटम 1 और 2 शामिल हैं (क्या आप सुनिश्चित हैं कि बैकअप वास्तव में काम कर रहा है? क्या आपने इसे औपचारिक रूप से रिकॉर्ड किया है?), आइटम 3 (आपकी योजना बी क्या है यदि अपराधी आपके प्राथमिक बैकअप को हटा देते हैं?), आइटम 4 (क्या आपने सावधानी से बहाल करने का अभ्यास किया है? जैसा कि आपने बैकअप का अभ्यास किया था?) और बिंदु 5 (क्या आप सुनिश्चित हैं कि आपने कुछ भी याद नहीं किया है जिसे आपको उस समय इंगित करना चाहिए था?)।
कई IT टीमों के लिए या विशेष रूप से छोटी कंपनियों के लिए जो "पक्ष में" IT करती हैं, एक विशेष SecOps टीम एक लक्ज़री है और सस्ती नहीं है, इसलिए वहां की रणनीति अक्सर "इंस्टॉल करें और फिर भूल जाएं" सिद्धांत के समान होती है। इस स्थिति में किसी को भी बाहरी एमटीआर विशेषज्ञों का समर्थन लेना चाहिए और उन्हें सुरक्षित भविष्य में निवेश के रूप में देखना चाहिए।
साइबर सुरक्षा एक प्रक्रिया है, गंतव्य नहीं। एक सफल हमला हमेशा नुकसान छोड़ता है और संसाधनों और संचालन क्षमता पर इसका प्रभाव पड़ता है। प्रभाव की ताकत प्रतिक्रिया की गति, एहतियाती उपायों और सुरक्षा प्रक्रिया पर बहुत अधिक निर्भर करती है।
Sophos.com पर अधिक