नेफिलिम रैंसमवेयर विशेष रूप से $1 बिलियन से अधिक वार्षिक राजस्व वाले पीड़ितों को लक्षित करता है। ट्रेंड माइक्रो अध्ययन सबसे सफल आधुनिक रैंसमवेयर खतरा समूहों में से एक का विश्लेषण करता है।
साइबर सुरक्षा समाधान के दुनिया के अग्रणी प्रदाताओं में से एक ट्रेंड माइक्रो ने नेफिलिम रैंसमवेयर समूह पर एक केस स्टडी प्रकाशित की है, जो आधुनिक रैंसमवेयर हमलों की प्रकृति पर गहराई से जानकारी प्रदान करती है। यह अध्ययन इस बात पर मूल्यवान पृष्ठभूमि प्रदान करता है कि रैंसमवेयर समूह कैसे विकसित होते हैं, भूमिगत रूप से काम करते हैं और कैसे उन्नत पहचान और प्रतिक्रिया प्लेटफ़ॉर्म उनसे बचाव में मदद करते हैं।
आधुनिक रैंसमवेयर परिवार कैसे काम करते हैं
जिस तरह से आधुनिक रैंसमवेयर परिवार संचालित होते हैं, उससे पहले से ही अत्यधिक बोझ से दबी एसओसी (सुरक्षा संचालन केंद्र) और आईटी सुरक्षा टीमों के लिए साइबर हमलों का पता लगाना और उनका मुकाबला करना और अधिक कठिन हो जाता है। यह न केवल व्यावसायिक सफलता और कॉर्पोरेट प्रतिष्ठा के लिए महत्वपूर्ण है, बल्कि स्वयं एसओसी टीमों के तनाव स्तर के लिए भी महत्वपूर्ण है।
“आधुनिक रैंसमवेयर हमले उन्नत पर्सिस्टेंट थ्रेट (एपीटी) समूहों द्वारा सिद्ध सिद्ध तरीकों का उपयोग करके अत्यधिक लक्षित, अनुकूली और गुप्त होते हैं। डेटा चोरी करके और महत्वपूर्ण प्रणालियों को बंद करके, नेफिलिम जैसे समूह अत्यधिक लाभदायक वैश्विक कंपनियों को ब्लैकमेल करना चाहते हैं, ”ट्रेंड माइक्रो के व्यापार सलाहकार रिचर्ड वर्नर ने कहा। "हमारा नवीनतम अध्ययन उद्योग में किसी भी व्यक्ति के लिए अवश्य पढ़ा जाना चाहिए जो इस तेजी से बढ़ती छाया अर्थव्यवस्था को पूरी तरह से समझना चाहता है और कैसे विस्तारित जांच और प्रतिक्रिया (एक्सडीआर) समाधान इससे निपटने में मदद कर सकते हैं।"
माइक्रोस्कोप के तहत: 16 रैंसमवेयर समूह
मार्च 2020 से जनवरी 2021 तक सर्वेक्षण किए गए 16 रैंसमवेयर समूहों में से, जोखिम में पीड़ितों की संख्या के मामले में कोंटी, डोपेलपेमर, एग्रेगोर और रेविल शीर्ष प्रदर्शन करने वाले थे। 0 टेराबाइट्स (टीबी) पर ऑनलाइन होस्ट किया गया सबसे अधिक चुराया गया डेटा सीएल5पी पर था।
हालाँकि, $XNUMX बिलियन से अधिक की वार्षिक बिक्री वाली कंपनियों पर इसके सख्त फोकस के कारण, नेफिलिम का उच्चतम औसत राजस्व जबरन वसूली से आया।
जैसा कि ट्रेंड माइक्रो अध्ययन से पता चलता है, नेफिलिम हमले में आमतौर पर निम्नलिखित चरण होते हैं
- परिचयात्मक पहुंच जो उजागर रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) सेवाओं या अन्य आउटवर्ड-फेसिंग HTTP सेवाओं पर कमजोर क्रेडेंशियल्स का दुरुपयोग करती है।
- एक बार घुसपैठ करने के बाद, डेटा चोरी के साथ-साथ एन्क्रिप्शन के लिए मूल्यवान सिस्टम खोजने के लिए पार्श्व आंदोलन के लिए वैध व्यवस्थापक टूल का उपयोग किया जाता है।
- कोबाल्ट स्ट्राइक और HTTP, HTTPS और DNS जैसे प्रोटोकॉल के साथ एक "कॉल होम सिस्टम" स्थापित किया गया है जो किसी भी फ़ायरवॉल से गुजर सकता है।
- C&C सर्वर के लिए विशेष रूप से सुरक्षित, तथाकथित "बुलेटप्रूफ" सेवाओं का उपयोग किया जाता है।
- पीड़ितों को ब्लैकमेल करने के लिए डेटा को पढ़ा जाता है और फिर टोर-संरक्षित वेबसाइटों पर प्रकाशित किया जाता है। पिछले साल, नेफिलिम ने लगभग दो टेराबाइट डेटा जारी किया था।
- पर्याप्त डेटा होते ही रैंसमवेयर भाग मैन्युअल रूप से चालू हो जाता है।
अध्ययन के निष्कर्ष: मैलवेयर लोडर और नवीनतम रैंसमवेयर पेलोड के बीच संबंध (छवि: ट्रेंड माइक्रो)।
ट्रेंड माइक्रो ने पहले AdFind, कोबाल्ट स्ट्राइक, Mimikatz, प्रोसेस हैकर, PsExec और मेगासिंक जैसे वैध उपकरणों के व्यापक उपयोग की चेतावनी दी है जो रैंसमवेयर हमलावरों को किसी का ध्यान न रखते हुए अपने लक्ष्य तक पहुंचने की अनुमति देते हैं। इससे एसओसी विश्लेषकों के लिए पर्यावरण के विभिन्न हिस्सों से इवेंट लॉग को देखकर उच्च-स्तरीय संदर्भ और हमलों को देखना चुनौतीपूर्ण हो सकता है।
एसओसी विश्लेषकों के लिए चुनौती
ट्रेंड माइक्रो विज़न वन एंडपॉइंट से लेकर ईमेल, सर्वर और क्लाउड वर्कलोड तक कई परतों में संदिग्ध व्यवहार की निगरानी और सहसंबंध करता है ताकि यह सुनिश्चित किया जा सके कि खतरे वाले अभिनेताओं के लिए कोई पिछले दरवाजे न हों। यह घटनाओं की स्थिति में त्वरित प्रतिक्रिया समय सुनिश्चित करता है। व्यवसाय पर गंभीर प्रभाव पड़ने से पहले टीमें अक्सर हमलों को रोक सकती हैं।
पूरी रिपोर्ट, मॉडर्न रैनसमवेयर की दोहरी जबरन वसूली रणनीति और उनके खिलाफ उद्यमों की सुरक्षा कैसे करें, ट्रेंड माइक्रो पर ऑनलाइन उपलब्ध है।
TrendMicro.com पर अधिक
ट्रेंड माइक्रो के बारे में आईटी सुरक्षा के दुनिया के अग्रणी प्रदाताओं में से एक के रूप में, ट्रेंड माइक्रो डिजिटल डेटा एक्सचेंज के लिए एक सुरक्षित दुनिया बनाने में मदद करता है। 30 से अधिक वर्षों की सुरक्षा विशेषज्ञता, वैश्विक खतरा अनुसंधान और निरंतर नवाचार के साथ, ट्रेंड माइक्रो व्यवसायों, सरकारी एजेंसियों और उपभोक्ताओं के लिए सुरक्षा प्रदान करता है। हमारी XGen™ सुरक्षा रणनीति के लिए धन्यवाद, हमारे समाधान अग्रणी-एज वातावरण के लिए अनुकूलित रक्षा तकनीकों के एक क्रॉस-जेनरेशनल संयोजन से लाभान्वित होते हैं। नेटवर्क की खतरे की जानकारी बेहतर और तेज सुरक्षा को सक्षम बनाती है। क्लाउड वर्कलोड, एंडपॉइंट्स, ईमेल, IIoT और नेटवर्क के लिए अनुकूलित, हमारे कनेक्टेड समाधान तेजी से खतरे का पता लगाने और प्रतिक्रिया के लिए पूरे उद्यम में केंद्रीकृत दृश्यता प्रदान करते हैं।