मल्टी-प्लेटफ़ॉर्म मालवेयर फ्रेमवर्क MATA बैकडोर का उपयोग VHD रैनसमवेयर में किया गया था, जो APT समूह लाजर को .
यूरोप और एशिया में हमलों में VHD रैंसमवेयर के दो मामलों का विश्लेषण करते हुए, Kaspersky के शोधकर्ता उन्हें कुख्यात उत्तर कोरियाई APT समूह लाजर से जोड़ने में सक्षम थे। रैंसमवेयर का विकास और इसकी वित्तीय रूप से प्रेरित पृष्ठभूमि दोनों ही समूह द्वारा रणनीति में बदलाव की ओर इशारा करते हैं; सरकार द्वारा प्रायोजित APT समूह के लिए दोनों अत्यधिक असामान्य हैं।
मार्च और अप्रैल 2020 में, तथाकथित वीएचडी रैंसमवेयर की पहली रिपोर्ट आई थी, जो इसकी स्व-प्रतिकृति क्षमता की विशेषता है और इसका उद्देश्य अपने पीड़ितों से पैसे वसूलना है। मैलवेयर फैलाने के लिए पीड़ित-विशिष्ट क्रेडेंशियल्स के साथ संकलित प्रोग्राम का उपयोग करना APT अभियानों के समान है। Kaspersky के शोधकर्ता एक घटना का विश्लेषण करने के बाद रैनसमवेयर को Lazarus APT समूह से जोड़ने में सक्षम थे, जिसमें VHD रैंसमवेयर का उपयोग फ्रांस और एशिया में कंपनियों के खिलाफ जाने-माने Lazarus टूल के साथ मिलकर किया गया था।
MATA मल्टी-प्लेटफ़ॉर्म मालवेयर फ्रेमवर्क बैकडोर बैकर्स को उजागर करता है
मार्च और मई 2020 के बीच, Kaspersky के विशेषज्ञों ने VHD रैंसमवेयर से संबंधित दो स्वतंत्र जांच की। यूरोप में पहली घटना में, इस बात के बहुत कम सबूत थे कि हमलों के पीछे कौन था, हालांकि प्रसार तकनीक एपीटी समूहों द्वारा उपयोग की जाने वाली तकनीकों के समान थी। सामान्य तौर पर, हमला बड़े और महत्वपूर्ण लक्ष्यों को लक्षित करने वाले प्रसिद्ध समूहों के सामान्य तौर-तरीकों के अनुरूप नहीं था। इसके अलावा, बहुत ही सीमित संख्या में रैनसमवेयर मैलवेयर के नमूने और प्रचारित मामले थे, जो यह सुझाव देते हैं कि इस मैलवेयर परिवार को सामान्य रूप से भूमिगत मंचों पर व्यापक रूप से कारोबार नहीं किया जा सकता है।
हालांकि, दूसरे हमले में, जिसमें वीएचडी रैंसमवेयर का इस्तेमाल किया गया था, संक्रमण की शृंखला का पता लगाया जा सका; शोधकर्ता इस प्रकार मैलवेयर को लाजर समूह से जोड़ने में सक्षम थे। अन्य बातों के अलावा, हमले के पीछे के लोगों ने एक पिछले दरवाजे का उपयोग किया जो मल्टी-प्लेटफ़ॉर्म फ्रेमवर्क MATA का हिस्सा है - जिसे हाल ही में Kaspersky ने विस्तार से बताया - और कोड और टूल में समानता के कारण इस APT समूह को सौंपा जा सकता है। कास्परस्की टेलीमेट्री डेटा के अनुसार, MATA ढांचे से संक्रमित पीड़ित जर्मनी, पोलैंड, तुर्की, कोरिया, जापान और भारत में स्थित थे।
एन्क्रिप्शन ट्रोजन वीएचडी: मूल्यांकन किए गए हमलों से निष्कर्ष
इन निष्कर्षों से पता चलता है कि अब तक पाए गए VHD रैंसमवेयर अभियानों के पीछे लाजर का हाथ है। उपयोग किए गए रैंसमवेयर को समूह द्वारा ही विकसित और संचालित किया गया था, जो साइबर क्राइम के माहौल में काफी असामान्य है।
कास्परस्की की ग्लोबल रिसर्च एंड एनालिसिस टीम (जीआरएटी) के सुरक्षा शोधकर्ता इवान क्विआटकोव्स्की ने टिप्पणी की, "हम जानते थे कि लाजर की गतिविधियां हमेशा वित्तीय लाभ के उद्देश्य से होती थीं, लेकिन वानाक्राई [4] के बाद से समूह से रैनसमवेयर से संबंधित कोई गतिविधियां नहीं हुई हैं।" . "हालांकि यह स्पष्ट है कि समूह रैनसमवेयर के लिए इस तरह के दृष्टिकोण के साथ अन्य साइबर अपराधियों की दक्षता से मेल नहीं खा सकता है, यह चिंताजनक है कि वे इस प्रकार के हमले में बदल गए हैं। वैश्विक रैंसमवेयर का खतरा पहले से ही काफी बड़ा है और अक्सर पीड़ितों पर महत्वपूर्ण वित्तीय प्रभाव पड़ता है, कभी-कभी उन्हें दिवालिया कर देता है। हमें यह सवाल पूछने की जरूरत है कि क्या ये हमले एकबारगी प्रयोग हैं या एक नए चलन का हिस्सा हैं और इसलिए क्या निजी कंपनियों को राज्य-प्रायोजित खतरे वाले अभिनेताओं के शिकार होने के बारे में चिंता करने की आवश्यकता है। भले ही, संगठनों को जागरूक होने की आवश्यकता है कि गोपनीयता पहले से कहीं अधिक महत्वपूर्ण है। आवश्यक डेटा का बैकअप लेना और प्रतिक्रियाशील सुरक्षा में निवेश करना नितांत आवश्यक है।"
रैंसमवेयर हमलों से बचाव के लिए कास्परस्की टिप्स
- कर्मचारियों को इस बारे में शिक्षित करें कि फ़िशिंग रैनसमवेयर कैसे फैलाती है और कर्मचारियों को रैनसमवेयर से समझौता होने से बचने के लिए किन बातों का ध्यान रखना चाहिए। Kaspersky Automated Security Awareness Platform जैसी विशेष प्रशिक्षण अवधारणाएँ यहाँ मदद कर सकती हैं।
- कंपनियों को यह सुनिश्चित करना चाहिए कि उपयोग किए जाने वाले सभी सॉफ़्टवेयर समाधान, एप्लिकेशन और सिस्टम हमेशा अद्यतित रहें। भेद्यता और पैच प्रबंधन कार्यों जैसे कैस्पर्सकी भेद्यता और पैच प्रबंधन के साथ एक सुरक्षा समाधान का उपयोग आपके अपने नेटवर्क में पैच न की गई कमजोरियों की पहचान करने में मदद करता है।
- अपने स्वयं के नेटवर्क का नियमित साइबर सुरक्षा ऑडिट करें और खोजी गई कमजोरियों को दूर करें।
- सभी समापन बिंदुओं और सर्वरों को व्यापक समाधान के साथ संरक्षित किया जाना चाहिए। Kaspersky इंटीग्रेटेड एंडपॉइंट सिक्योरिटी जैसा एक संबंधित समाधान सैंडबॉक्स और EDR कार्यक्षमता के साथ एंडपॉइंट सुरक्षा को जोड़ता है, जो ज्ञात और अज्ञात खतरों से सुरक्षा को सक्षम करता है।
- सुरक्षा दल के पास हमेशा अप-टू-डेट थ्रेट इंटेलिजेंस डेटा होना चाहिए ताकि वह नए और उभरते हुए टूल, तकनीकों और खतरों के अभिनेताओं और साइबर अपराधियों द्वारा उपयोग की जाने वाली रणनीति के बारे में जानकारी रख सके।
- रैंसमवेयर एक आपराधिक अपराध है। इसलिए, शिकार बनने वाली कंपनियों को कभी भी फिरौती की मांग का जवाब नहीं देना चाहिए और भुगतान नहीं करना चाहिए। इसके बजाय, घटना की सूचना स्थानीय कानून प्रवर्तन को दी जानी चाहिए। इसके अलावा, नि: शुल्क डिक्रिप्शन उपकरण हैं nomoreransom.orgजो आवश्यक होने पर डेटा को पुनर्स्थापित कर सकता है।
Kaspersky's Securelist.com पर और जानें
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी