एक ग्राहक परिनियोजन के दौरान वरोनिस फोरेंसिक टीम द्वारा हाइव का उपयोग करते हुए रैनसमवेयर हमले की जांच की गई। साइबर अपराधियों के हमले और कार्यों को इस तरह से प्रलेखित किया गया था।
पहली बार जून 2021 में खोजा गया, हाइव का उपयोग साइबर अपराधियों द्वारा दुनिया भर में स्वास्थ्य सुविधाओं, गैर-लाभकारी संस्थाओं, खुदरा विक्रेताओं, उपयोगिताओं और अन्य उद्योगों पर हमला करने के लिए रैंसमवेयर-ए-सर्विस के रूप में किया जाता है। आमतौर पर, वे पीड़ितों के उपकरणों से समझौता करने के लिए सामान्य रैनसमवेयर युक्तियों, तकनीकों और प्रक्रियाओं (टीटीपी) का उपयोग करते हैं। दूसरों के बीच, दुर्भावनापूर्ण अनुलग्नकों के साथ फ़िशिंग ईमेल, चोरी किए गए वीपीएन क्रेडेंशियल्स और कमजोरियों का उपयोग लक्षित सिस्टम में घुसपैठ करने के लिए किया जाता है। एक ग्राहक के दौरे के दौरान, वरोनिस फोरेंसिक टीम ने इस तरह के हमले की जांच की और साइबर अपराधियों के कार्यों का दस्तावेजीकरण करने में सक्षम थी।
चरण 1: प्रॉक्सीशेल और वेबशेल
सबसे पहले, हमलावरों ने एक्सचेंज सर्वरों की ज्ञात प्रॉक्सीशेल कमजोरियों का फायदा उठाया और फिर एक्सचेंज सर्वर पर सार्वजनिक रूप से सुलभ निर्देशिका में एक दुर्भावनापूर्ण बैकडोर स्क्रिप्ट (वेबशेल) रखा। ये वेब स्क्रिप्ट सिस्टम विशेषाधिकारों के साथ समझौता किए गए सर्वर के माध्यम से दुर्भावनापूर्ण PowerShell कोड चला सकते हैं।
स्टेज 2: कोबाल्ट स्ट्राइक
दुर्भावनापूर्ण PowerShell कोड ने कोबाल्ट स्ट्राइक फ्रेमवर्क से जुड़े रिमोट कमांड एंड कंट्रोल सर्वर से अतिरिक्त स्टैगर डाउनलोड किए। स्टैगर्स को फाइल सिस्टम में नहीं लिखा गया था, लेकिन मेमोरी में निष्पादित किया गया था।
चरण 3: मिमिकत्ज़ और पास-द-हैश
सिस्टम विशेषाधिकारों का उपयोग करते हुए, हमलावरों ने "उपयोगकर्ता" नामक एक नया सिस्टम प्रशासक बनाया और क्रेडेंशियल डंप चरण में आगे बढ़े, जहां उन्होंने मिमिकत्ज़ को तैनात किया। इसके "logonPasswords" मॉड्यूल का उपयोग करते हुए, सिस्टम पर लॉग ऑन किए गए खातों के पासवर्ड और NTLM हैश को निकाला जा सकता है और परिणाम स्थानीय सिस्टम पर टेक्स्ट फ़ाइल में सहेजे जाते हैं। एक बार हमलावरों के पास व्यवस्थापक का NTLM हैश हो जाने के बाद, उन्होंने नेटवर्क पर अन्य संसाधनों तक अत्यधिक विशेषाधिकार प्राप्त करने के लिए पास-द-हैश तकनीक का उपयोग किया।
चरण 4: संवेदनशील जानकारी की खोज करें
इसके बाद, हमलावरों ने पूरे नेटवर्क में व्यापक टोही गतिविधियां संचालित कीं। उनके नाम में "पासवर्ड" वाली फ़ाइलों की खोज के अलावा, नेटवर्क स्कैनर का भी उपयोग किया गया था और नेटवर्क के आईपी पते और डिवाइस के नाम एकत्र किए गए थे, इसके बाद आरडीपी द्वारा बैकअप सर्वर और अन्य प्रमुख संसाधनों को एकत्र किया गया था।
स्टेज 5: रैंसमवेयर का परिनियोजन
अंत में, गोलंग में लिखा गया एक कस्टम मालवेयर पेलोड जिसे Windows.exe कहा जाता है, वितरित किया गया और विभिन्न उपकरणों पर चलाया गया। यहां कई ऑपरेशन किए गए, जैसे छाया प्रतियों को हटाना, सुरक्षा उत्पादों को अक्षम करना, विंडोज इवेंट लॉग को हटाना और एक्सेस अधिकारों को हटाना। इस तरह, एक सुचारू और व्यापक एन्क्रिप्शन प्रक्रिया की गारंटी दी गई थी। एन्क्रिप्शन चरण के दौरान रैंसमवेयर क्लेम नोट भी बनाया गया था।
रैंसमवेयर हमलों में अत्यधिक वृद्धि
रैंसमवेयर हमले हाल के वर्षों में काफी बढ़ गए हैं और वित्तीय रूप से प्रेरित साइबर अपराधियों का पसंदीदा तरीका बना हुआ है। हमले के प्रभाव विनाशकारी हो सकते हैं: यह किसी कंपनी की प्रतिष्ठा को नुकसान पहुंचा सकता है, नियमित संचालन को स्थायी रूप से बाधित कर सकता है और जीडीपीआर के तहत संवेदनशील डेटा के अस्थायी, संभवतः स्थायी नुकसान के साथ-साथ महत्वपूर्ण जुर्माना भी लगा सकता है।
हालांकि ऐसी घटनाओं का पता लगाना और उनका जवाब देना चुनौतीपूर्ण हो सकता है, लेकिन अधिकांश दुर्भावनापूर्ण गतिविधियों को सही सुरक्षा उपकरणों, घटना प्रतिक्रिया योजनाओं के साथ रोका जा सकता है और ज्ञात कमजोरियों को ठीक किया जा सकता है। वरोनिस फोरेंसिक टीम इसलिए निम्नलिखित कार्रवाइयों की सिफारिश करती है:
- Microsoft द्वारा प्रदान किए गए नवीनतम एक्सचेंज संचयी अपडेट (सीयू) और सुरक्षा अपडेट (एसयू) के लिए एक्सचेंज सर्वर को पैच करें।
- जटिल पासवर्ड के उपयोग को लागू करें और उपयोगकर्ताओं को अपने पासवर्ड नियमित रूप से बदलने की आवश्यकता होती है।
- डोमेन खातों से स्थानीय व्यवस्थापक अनुमतियों को रद्द करने के लिए Microsoft LAPS समाधान का उपयोग करें (न्यूनतम विशेषाधिकार दृष्टिकोण)। समय-समय पर निष्क्रिय उपयोगकर्ता खातों की जांच करें और उन्हें हटा दें।
- पास-द-हैश हमलों से बचाने के लिए SMBv1 के उपयोग को अवरुद्ध करें और SMB हस्ताक्षर का उपयोग करें।
- कर्मचारियों के एक्सेस अधिकारों को उन फ़ाइलों तक सीमित करें जिनकी उन्हें वास्तव में अपने काम के लिए आवश्यकता है।
- आपकी नीतियों का उल्लंघन करने वाले अभिगम नियंत्रण परिवर्तनों को स्वचालित रूप से पहचानें और रोकें।
- साइबर सुरक्षा सिद्धांतों पर अपने कर्मचारियों को शिक्षित करें। नियमित जागरूकता प्रशिक्षण कॉर्पोरेट संस्कृति का एक मूलभूत हिस्सा होना चाहिए।
- बुनियादी सुरक्षा प्रथाओं और आचार संहिता की स्थापना करें जो यह बताती हैं कि कंपनी और ग्राहक की जानकारी और अन्य महत्वपूर्ण डेटा को कैसे संभालना और सुरक्षित रखना है।
वरोनिस के बारे में 2005 में अपनी स्थापना के बाद से, Varonis ने अपनी सुरक्षा रणनीति के केंद्र में ऑन-प्रिमाइसेस और क्लाउड दोनों में संग्रहीत कॉर्पोरेट डेटा रखकर अधिकांश IT सुरक्षा विक्रेताओं के लिए एक अलग दृष्टिकोण लिया है: संवेदनशील फ़ाइलें और ईमेल, गोपनीय ग्राहक, रोगी और रोगी जानकारी कर्मचारी रिकॉर्ड, वित्तीय रिकॉर्ड, रणनीतिक और उत्पाद योजना, और अन्य बौद्धिक संपदा। Varonis Data Security Platform (DSP) डेटा, खाता गतिविधि, टेलीमेट्री और उपयोगकर्ता के व्यवहार का विश्लेषण करके अंदरूनी खतरों और साइबर हमलों का पता लगाता है, संवेदनशील, विनियमित और बासी डेटा को लॉक करके डेटा सुरक्षा उल्लंघनों को रोकता या कम करता है, और सिस्टम की सुरक्षित स्थिति बनाए रखता है। कुशल स्वचालन के माध्यम से।,