रैंसमवेयर ऑपरेटर अपने हमले के बाद आपके नेटवर्क पर छुप जाते हैं

जब कोई कंपनी अनुभव कर रही होरैंसमवेयर अटैक, कई लोगों का मानना ​​है कि हमलावर जल्दी से रैंसमवेयर को तैनात कर देते हैं और छोड़ देते हैं, ताकि वे पकड़े न जाएं। दुर्भाग्य से, वास्तविकता बहुत अलग है क्योंकि खतरे में अभिनेता इतनी तेजी से संसाधन नहीं छोड़ते हैं कि उन्होंने इसे नियंत्रित करने के लिए इतनी मेहनत की है।

इसके बजाय, रैंसमवेयर हमले एक नेटवर्क पर रैंसमवेयर ऑपरेटर के प्रवेश से शुरू होकर, समय-समय पर दिन-प्रतिदिन चलते हैं।

यह उल्लंघन उजागर दूरस्थ डेस्कटॉप सेवाओं, वीपीएन सॉफ़्टवेयर में कमजोरियों, या ट्रिकबॉट, ड्रिडेक्स और क्यूकबॉट जैसे मैलवेयर द्वारा रिमोट एक्सेस के कारण होता है।

एक बार जब उनके पास पहुंच हो जाती है, तो वे कनेक्शन जानकारी एकत्र करने और इसे बाद में पूरे नेटवर्क में फैलाने के लिए Mimikatz, PowerShell Empire, PSExec, और अन्य जैसे टूल का उपयोग करते हैं।

जब वे नेटवर्क पर कंप्यूटर एक्सेस करते हैं, तो वे रैंसमवेयर अटैक होने से पहले बैकअप डिवाइस और सर्वर से अनएन्क्रिप्टेड फाइलों को चुराने के लिए इस क्रेडेंशियल का उपयोग करते हैं।

हमले के बाद, पीड़ितों ने BleepingComputer को बताया कि रैंसमवेयर ऑपरेटर दिखाई नहीं दे रहे हैं, लेकिन फिर भी, उनका नेटवर्क खतरे में है।
विश्वास सच्चाई से बहुत दूर है, जैसा कि भूलभुलैया रैनसमवेयर ऑपरेटरों द्वारा हाल ही में किए गए हमले से प्रमाणित है।

पढ़ना -शोधकर्ताओं ने सिरी, एलेक्सा और गूगल होम को हैक कर लिया लेज़रों को चमकाते हुए

रैंसमवेयर हमले के बाद भी भूलभुलैया फाइलों की चोरी करता रहा

भूलभुलैया रैनसमवेयर ऑपरेटरों ने हाल ही में अपने डेटा लीक साइट पर घोषणा की कि उन्होंने वीटी सैन एंटोनियो एयरोस्पेस (वीटी एसएए) नामक एक एसटी इंजीनियरिंग सहायक के नेटवर्क को हैक कर लिया है। इस लीक के बारे में डरावनी बात यह है कि भूलभुलैया ने एक दस्तावेज जारी किया है जिसमें पीड़ित के आईटी विभाग की रिपोर्ट उसके रैंसमवेयर हमले पर है।

चोरी किए गए दस्तावेज़ से पता चलता है कि भूलभुलैया अभी भी अपने नेटवर्क पर थी और हमले की जांच जारी रहने के दौरान कंपनी की चोरी की फाइलों की जासूसी करना जारी रखा। इस प्रकार के हमले के लिए यह निरंतर पहुंच असामान्य नहीं है। McAfee के मुख्य अभियंता और साइबर जांच प्रबंधक जॉन फोककर

BleepingComputer को बताया कि कुछ हमलावरों ने पीड़ितों के ईमेल पढ़े, जबकि रैंसमवेयर वार्ता चल रही थी।
“हम उन मामलों से अवगत हैं जहां रैंसमवेयर खिलाड़ी अपने रैंसमवेयर को तैनात करने के बाद भी पीड़ित के नेटवर्क पर बने रहे। इन मामलों में, हमलावरों ने शुरुआती हमले के बाद या पीछे छूटी बातचीत के दौरान पीड़ित के बैकअप को एन्क्रिप्ट किया। बेशक, हमलावर अभी भी उस तक पहुंच सकता था और पीड़ित के ईमेल को पढ़ सकता था।

पढ़ना -दुर्भावनापूर्ण ईमेल पर क्लिक करने के लिए उपयोगकर्ताओं को बरगलाने के लिए हैकर्स कोरोनावायरस के डर का फायदा उठा रहे हैं

अनुभवी सलाह

रैंसमवेयर हमले का पता चलने के बाद, एक कंपनी को पहले अपने नेटवर्क और उस पर चलने वाले कंप्यूटरों को बंद करना होगा। ये क्रियाएं निरंतर डेटा एन्क्रिप्शन को रोकती हैं और हमलावरों को सिस्टम तक पहुंच से वंचित करती हैं।
एक बार यह पूरा हो जाने के बाद, कंपनी को सभी आंतरिक और सार्वजनिक उपकरणों के हमले और स्कैनिंग की गहन जांच करने के लिए साइबर सुरक्षा प्रदाता को कॉल करना चाहिए।

इस स्कैन में रैंसमवेयर ऑपरेटरों द्वारा छोड़े गए लगातार संक्रमण, कमजोरियों, कमजोर पासवर्ड और दुर्भावनापूर्ण टूल की पहचान करने के लिए कंपनी के उपकरणों को स्कैन करना शामिल है।

पीड़ित का साइबर बीमा कई मामलों में अधिकांश मरम्मत और जांच को कवर करता है।

फोककर और एडवांस्ड इंटेल के चेयरपर्सन विटाली क्रेमेज़ ने भी हमले को ठीक करने के लिए कुछ अतिरिक्त टिप्स और रणनीतियाँ दीं।

'सबसे महत्वपूर्ण कॉर्पोरेट रैंसमवेयर हमलों में लगभग हमेशा पीड़ित के नेटवर्क का बैकअप सर्वर से लेकर डोमेन नियंत्रकों तक का पूरा समझौता शामिल होता है। एक सिस्टम पर पूर्ण नियंत्रण के साथ, धमकी देने वाले अभिनेता आसानी से रक्षा को अक्षम कर सकते हैं और अपने रैंसमवेयर को लागू कर सकते हैं।

'घटना प्रतिक्रिया (आईआर) टीमें जो इस तरह के गहन हस्तक्षेप के अधीन हैं, उन्हें यह मान लेना चाहिए कि हमलावर अभी भी नेटवर्क पर है जब तक कि दोषी साबित नहीं हो जाता। मुख्य रूप से, इसका मतलब चल रहे IR प्रयासों पर चर्चा करने के लिए एक अलग संचार चैनल (खतरे वाले अभिनेता के लिए दृश्यमान नहीं) का चयन करना है। '

'यह नोट करना महत्वपूर्ण है कि हमलावरों ने किसी भी शेष पिछले दरवाजे के खातों को हटाने के लिए पीड़ित की सक्रिय निर्देशिका को पहले ही स्कैन कर लिया है। उन्हें एक पूर्ण एडी स्कैन करना होगा, 'फोकर ने ब्लेपिंगकंप्यूटर को बताया।

क्रेमेज़ ने एक अलग सुरक्षित संचार चैनल और एक बंद भंडारण चैनल का भी प्रस्ताव रखा जहां सर्वेक्षण से संबंधित डेटा संग्रहीत किया जा सकता है।

रैंसमवेयर हमलों को डेटा उल्लंघनों के रूप में मानें, यह मानते हुए कि हमलावर अभी भी नेटवर्क पर हो सकते हैं, इसलिए पीड़ितों को नीचे से ऊपर तक काम करना चाहिए, फोरेंसिक साक्ष्य प्राप्त करने का प्रयास करना चाहिए जो परिकल्पना की पुष्टि या अमान्य करता है। इसमें अक्सर विशेषाधिकार प्राप्त खातों पर ध्यान देने के साथ नेटवर्क के बुनियादी ढांचे का पूर्ण फोरेंसिक विश्लेषण शामिल होता है। सुनिश्चित करें कि आपके पास फोरेंसिक मूल्यांकन के दौरान एक अलग सुरक्षित भंडारण और संचार चैनल (अलग बुनियादी ढांचा) रखने के लिए एक व्यवसाय निरंतरता योजना है, 'क्रेमेज़ ने कहा।

नीचे से ऊपर तक, फोरेंसिक साक्ष्य प्राप्त करने का प्रयास करें जो परिकल्पना की पुष्टि या अमान्य करता है। इसमें अक्सर विशेषाधिकार प्राप्त खातों पर ध्यान देने के साथ नेटवर्क के बुनियादी ढांचे का पूर्ण फोरेंसिक विश्लेषण शामिल होता है। सुनिश्चित करें कि आपके पास फोरेंसिक मूल्यांकन के दौरान एक अलग सुरक्षित भंडारण और संचार चैनल (अलग बुनियादी ढांचा) रखने के लिए एक व्यवसाय निरंतरता योजना है, 'क्रेमेज़ ने कहा।

क्रेमेज़ ने पाया कि कमजोर नेटवर्क पर उपकरणों की फिर से कल्पना करने की सिफारिश की जाती है। फिर भी, यह पर्याप्त नहीं हो सकता है क्योंकि हमलावरों के पास नेटवर्क क्रेडेंशियल्स तक पूर्ण पहुंच होने की संभावना है जिसका उपयोग किसी अन्य हमले के लिए किया जा सकता है।
“पीड़ितों में मशीनों और सर्वरों को फिर से स्थापित करने की क्षमता होती है। हालाँकि, आपको इस बात की जानकारी होनी चाहिए कि अपराधी ने पहले ही क्रेडेंशियल चुरा लिया होगा। एक साधारण पुनर्स्थापना पर्याप्त नहीं हो सकती है। 'क्रेमेज़ ने जारी रखा।

अंततः, यह मान लेना आवश्यक है कि हमलावरों द्वारा हमले के बाद भी पीड़ित की गतिविधियों की निगरानी जारी रखने की संभावना है।

यह छिपकर बातें सुनना न केवल एक क्षतिग्रस्त नेटवर्क की सफाई में बाधा डाल सकता है, बल्कि अगर हमलावर पीड़ित के ईमेल को पढ़ते हैं और आगे रहते हैं तो बातचीत की रणनीति को भी प्रभावित कर सकता है।