अनुसंधान: REvil रैंसमवेयर की जांच की गई

REvil, जिसे Sodinokibi के नाम से भी जाना जाता है, एक परिपक्व और व्यापक रूप से इस्तेमाल किया जाने वाला रैनसमवेयर-एज-ए-सर्विस (RaaS) पेशकश है। सोफोस के शोधकर्ताओं ने उन उपकरणों और व्यवहारों को देखा, जिनके बारे में उनका मानना ​​है कि हमलावर अक्सर REvil हमले को लागू करने के लिए उपयोग करते हैं।

आपराधिक ग्राहक रैंसमवेयर को डेवलपर्स से पट्टे पर ले सकते हैं और इसे अपने पीड़ितों के कंप्यूटर पर अपने स्वयं के मापदंडों के साथ रख सकते हैं। REvil रैंसमवेयर हमले का विशिष्ट दृष्टिकोण और प्रभाव इसलिए अत्यधिक परिवर्तनशील है, जो उपकरण, व्यवहार, संसाधनों और मैलवेयर को काम पर रखने वाले हमलावर के कौशल पर निर्भर करता है।

हुड के नीचे REvil रैंसमवेयर

सोफोस के प्रधान शोधकर्ता एंड्रयू ब्रांट कहते हैं: "एक सामान्य, रोज़मर्रा के रैंसमवेयर के लिए, जो केवल कुछ वर्षों के लिए ही रहा है, REvil/Sodinokibi पहले से ही महत्वपूर्ण क्षति का कारण बनता है और फिरौती के भुगतान में लाखों डॉलर की मांग करता है। REvil/Sodinokibi की सफलता आंशिक रूप से इस तथ्य के कारण हो सकती है कि रैनसमवेयर-ए-ए-सर्विस की पेशकश के रूप में, हर हमला अलग है। इससे रक्षकों के लिए बाहर देखने के लिए लाल झंडे को पहचानना मुश्किल हो सकता है।"

लेख में, सोफोसलैब्स के सोफोस शोधकर्ता और सोफोस रैपिड रिस्पांस टीम ने उन उपकरणों और व्यवहारों का वर्णन किया है जो मानते हैं कि हमलावर अक्सर एक REvil हमले को लागू करने के लिए उपयोग करते हैं। रिपोर्ट का उद्देश्य रक्षकों को इस बात की अंतर्दृष्टि प्रदान करना है कि कैसे एक खतरनाक या विकसित होने वाले REvil रैंसमवेयर हमले की पहचान की जाए और उनके संगठन की रक्षा की जाए।

REvil रैंसमवेयर अटैक टूल्स

• वीपीएन, रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी), डेस्कटॉप रिमोट प्रबंधन उपकरण जैसे वीएनसी, और यहां तक ​​कि कुछ क्लाउड-आधारित प्रबंधन प्रणालियों जैसी प्रसिद्ध इंटरनेट सेवाओं के खिलाफ क्रूर बल के हमले; मैलवेयर, फ़िशिंग, या लक्ष्य के नेटवर्क पर पहले से मौजूद अन्य मैलवेयर से उन्हें जोड़कर प्राप्त क्रेडेंशियल्स का दुरुपयोग।
• डोमेन व्यवस्थापक के क्रेडेंशियल प्राप्त करने के लिए Mimikatz का उपयोग करके क्रेडेंशियल हार्वेस्टिंग और विशेषाधिकार वृद्धि।
• बैकअप को अक्षम या हटाकर, सुरक्षा तकनीकों को अक्षम करने का प्रयास करके, और एन्क्रिप्शन के लिए लक्षित कंप्यूटरों की पहचान करके रैंसमवेयर रिलीज़ के लिए चरण निर्धारित करना।
• एक्सफिल्ट्रेशन के लिए बड़ी मात्रा में डेटा अपलोड करना - हालांकि सोफोस के शोधकर्ताओं ने इसे केवल REvil/Sodonokibi की जांच की गई लगभग आधी घटनाओं में देखा। डेटा चोरी से जुड़े मामलों में, लगभग तीन तिमाहियों ने चुराए गए डेटा के लिए (अस्थायी) संग्रहण स्थान के रूप में Mega.nz का उपयोग किया।
• समापन बिंदु सुरक्षा उपकरणों को बायपास करने के लिए डेटा को एन्क्रिप्ट करने से पहले कंप्यूटर को सुरक्षित मोड में रीबूट करना।

REvil/Sodinokibi Ransomware हमलों के बारे में अधिक जानकारी के लिए और उनसे कैसे बचाव करें, SophosLabs Uncut पर लेख देखें।

तप और विदेशी पंख

सोफोस रैपिड रिस्पांस निष्कर्षों के अनुसार, REvil रैंसमवेयर को तैनात करने वाले हमलावर बहुत लगातार हो सकते हैं। हाल ही में REvil हमले में टीम ने जांच की, एक समझौता किए गए सर्वर से एकत्र किए गए डेटा ने पांच मिनट की अवधि में लगभग 35.000 असफल लॉगिन प्रयासों को दिखाया, जो दुनिया भर के 349 अद्वितीय आईपी पतों से उत्पन्न हुआ। इसके अलावा, सोफोस शोधकर्ताओं द्वारा देखे गए कम से कम दो आरईविल हमलों में, प्रारंभिक प्रवेश बिंदु एक अन्य हमलावर द्वारा पिछले रैंसमवेयर हमले के पीछे छोड़ दिया गया उपकरण था।

Sophos.com पर अधिक

 

---

सोफोस के बारे में

सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।

---

 

विषय से संबंधित लेख