सोफोस ने खतरे की प्रतिक्रिया टीम को REvil रैंसमवेयर के साथ आमने-सामने रखा। एक विशिष्ट मामले से पता चलता है कि साइबर अपराधियों ने कैसे काम किया, कैसे मैनेज्ड थ्रेट रिस्पांस (MTR) टीम को आखिरकार ऊपरी हाथ मिला, और इस घटना से कंपनियों को क्या सबक सीखना चाहिए।
कई अन्य रैंसमवेयर परिवारों की तरह, साइबर अपराधी डेटा चोरी करने और एन्क्रिप्ट करने के लिए REvil रैंसमवेयर का उपयोग करते हैं ताकि फिर से अधिक से अधिक फिरौती की मांग की जा सके। हालांकि, रैनसमवेयर को उपलब्ध कराने का तरीका REvil को खास बनाता है। जैसे कि यह एक सामान्य व्यवसाय था, निर्माता अपने "उत्पाद" को एक सेवा के रूप में पेश करते हैं जिसे आप पट्टे पर भी दे सकते हैं - यह आपको एक अच्छा संकेत देता है कि साइबर अपराधियों का व्यवसाय लाखों का है।
REvil हमला: $ 2 मिलियन फिरौती
एक मीडिया कंपनी का वर्तमान उदाहरण जिससे ब्लैकमेल करने वालों ने दो मिलियन से अधिक की फिरौती मांगी, यह दर्शाता है कि हमला कैसे काम करता है और अपराधियों को प्रभावी ढंग से कैसे मुकाबला किया जा सकता है। 600/25 ऑपरेशन के लिए 24 सर्वर और तीन सक्रिय निर्देशिका डोमेन सहित लगभग 7 नेटवर्क उपकरणों के साथ, इस कंपनी को भी COVID-19 लहर के बाद अपने कई दैनिक कार्यों को दूरस्थ कार्यालयों में स्थानांतरित करने के लिए मजबूर होना पड़ा। बाहरी वर्कस्टेशन नेटवर्क से जुड़े थे और इंटरनेट कनेक्शन समायोजित - आवश्यक आवश्यकताओं के संदर्भ में सभी सुविचारित क्रियाएं। लेकिन इसने REvil हमले का दरवाजा खोल दिया।
नेटवर्क में प्रवेश करने के बाद, अपराधियों ने असुरक्षित उपकरणों और अन्य ऑनलाइन प्रणालियों के लिए अपना रास्ता बना लिया, अपने हमले के उपकरण स्थापित किए और उनका उपयोग अधिक उपकरणों पर हमले का विस्तार करने के लिए किया।
रैपिड रिस्पांस फोर्स
जब सोफोस रैपिड रिस्पांस टीम को अपराध स्थल की गहन जांच करने के लिए बुलाया गया, तो यह जल्दी से स्पष्ट हो गया कि REvil हमलावरों ने पहले ही कई खातों से समझौता कर लिया था और असुरक्षित कंप्यूटरों के बीच स्वतंत्र रूप से घूम रहे थे। अनुप्रयोगों पर करीब से देखने से पता चला है कि 130 समापन बिंदु स्क्रीन कनेक्ट 130 सॉफ़्टवेयर से लैस थे, जिसे अक्सर दूरस्थ कार्यालयों के लिए सहयोग उपकरण के रूप में उपयोग किया जाता है। वास्तव में, कंपनी इन प्रतिष्ठानों से अनभिज्ञ थी, यह सुझाव देते हुए कि हमलावरों ने इस उपकरण को अपने आपराधिक उद्देश्यों के लिए कई अन्य कार्यक्रमों के साथ स्थापित किया था।
मारपीट का सीधा आदान-प्रदान
जैसे ही हमलावरों ने नेटवर्क में गहराई से खुदाई करना शुरू किया, उन्हें पता था कि उनका पता लगाया जाएगा और उन्हें ब्लॉक कर दिया जाएगा, और यह कि एमटीआर टीम उनके पीछे थी। उन्हें पता था कि उन्हें ट्रैक करने के लिए व्यवहार-आधारित पहचान उपकरण का उपयोग किया जा रहा है और क्रिप्टोगार्ड एन्क्रिप्शन का पता लगाएगा और ब्लॉक करेगा। इसके बाद हमलावरों ने वहां रैंसमवेयर चलाने के लिए अन्य असुरक्षित समापन बिंदुओं में घुसने की कोशिश की।
एमटीआर टीम और हमलावर के बीच मारपीट का सीधा आदान-प्रदान सामान्य से अधिक तीव्र और जटिल था, क्योंकि मीडिया कंपनी को 24/7 सिस्टम और प्रसारण को बनाए रखने के लिए अधिकांश सर्वरों को ऑनलाइन रखना पड़ता था। आखिरकार हड़बड़ी कम होने लगी। दूसरे दिन, जबकि छिटपुट हमले अभी भी देखे जा रहे थे, यह स्पष्ट था कि हमले का मुख्य प्रयास समाप्त हो गया था और विफल हो गया था। इस लड़ाई का विजेता स्पष्ट था: एमटीआर टीम।
बैलेंस शीट और अंतर्दृष्टि
यह काफी खराब हो सकता था। आईटी सुरक्षा दल ने पाया कि नुकसान ज्यादातर असुरक्षित उपकरणों और डोमेन तक ही सीमित था। पहले एक एयर गैप (नेटवर्क सुरक्षा विकल्प) द्वारा संरक्षित ऑनलाइन डोमेन पूरी तरह से नष्ट हो गया था और इसे फिर से बनाना पड़ा, और ऑनलाइन बैकअप भी हटा दिए गए। अच्छी खबर: हालांकि हमलावर नेटवर्क में आने में कामयाब रहे, कंपनी पूरी तरह से नहीं थी लकवा मार गया और उसे अत्यधिक फिरौती भी नहीं देनी पड़ी।
“ज्यादातर मामलों में, जब हमें बुलाया जाता है तब हमला पहले से ही हो रहा होता है। इसके बाद हम परिणाम को शामिल करने, बेअसर करने और जांच करने में मदद कर सकते हैं," पीटर मैकेंज़ी, सोफोस रैपिड रिस्पांस मैनेजर कहते हैं। "इस मामले में, हमें सहायता के लिए कहा गया था और हमले के अंतिम चरण के रूप में सामने थे और हम हमलावरों के प्रारंभिक दृढ़ संकल्प और फिर बढ़ती हताशा दोनों को देखने में सक्षम थे। और उन्होंने हमारे खिलाफ हर उपलब्ध हथियार का इस्तेमाल किया, जितनी भी दिशाओं से वे कर सकते थे, फायरिंग की।"
दो विशेष रूप से महत्वपूर्ण निष्कर्ष
पहली चिंता जोखिम प्रबंधन की है। जब कोई कंपनी पर्यावरण में बदलाव करती है, जैसे नेटवर्क को एयर-गैप्ड से ऑनलाइन में ले जाना, जैसा कि इस कंपनी के मामले में होता है, तो जोखिम बदल जाता है। नई भेद्यताएं उभर रही हैं जिन्हें आईटी सुरक्षा टीमों द्वारा पहचानने और समाप्त करने की आवश्यकता है।
दूसरी खोज डेटा सुरक्षा के बारे में है। इस हमले में पहला हैक किया गया खाता आईटी टीम के एक सदस्य का था। सारा डेटा मिटा दिया गया था। इसका मतलब है कि मूल्यवान जानकारी जैसे बी। मूल ब्रेक-इन का विवरण जिसका उपयोग फोरेंसिक विश्लेषण और जांच के लिए किया जा सकता था, खो गया था। जितनी अधिक जानकारी अक्षुण्ण रह जाती है, यह समझना उतना ही आसान हो जाता है कि क्या हुआ और सुनिश्चित करें कि यह फिर से नहीं हो सकता है।
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।