मैलवेयर जो आमतौर पर रैंसमवेयर इंस्टॉल करता है और आपको उसे तुरंत हटाने की आवश्यकता होती है

वे दिन गए जब रैंसमवेयर समूह इंटरनेट पर यादृच्छिक उपयोगकर्ताओं को संक्रमित करने की उम्मीद में बड़े पैमाने पर ईमेल स्पैम अभियान चलाकर संचालित होते थे।

आज, रैंसमवेयर ऑपरेटर सरकार-प्रायोजित हैकिंग समूहों के कौशल, उपकरण और बजट के साथ अनाड़ी मैलवेयर गिरोहों के एक समूह से जटिल साइबर अपराध कार्टेल की एक श्रृंखला में विकसित हो गए हैं।

आजकल, रैंसमवेयर गिरोह अन्य साइबर अपराध अभियानों के साथ बहु-स्तरीय साझेदारी पर भरोसा करते हैं। बुलाया "प्रारंभिक पहुंच दलाल," ये समूह भूमिगत अपराधियों की आपूर्ति श्रृंखला के रूप में काम करते हैं, रैंसमवेयर गिरोह (और अन्य) को समझौता किए गए सिस्टम के बड़े संग्रह तक पहुंच प्रदान करते हैं।

हैक किए गए आरडीपी एंडपॉइंट्स, पिछले दरवाजे वाले नेटवर्किंग डिवाइस और मैलवेयर-संक्रमित कंप्यूटरों से युक्त, ये सिस्टम अनुमति देते हैं रैंसमवेयर गिरोह आसानी से कॉर्पोरेट नेटवर्क तक पहुंच प्राप्त करते हैं, अपनी पहुंच बढ़ाते हैं और बड़ी मांग करने के लिए फ़ाइलों को एन्क्रिप्ट करते हैं फिरौती।

ये प्रारंभिक पहुंच दलाल साइबर अपराध परिदृश्य का एक महत्वपूर्ण हिस्सा हैं। आज, तीन प्रकार के दलाल अधिकांश रैंसमवेयर हमलों के स्रोत के रूप में सामने आते हैं:

• समझौता किए गए आरडीपी समापन बिंदुओं के विक्रेता: साइबर अपराध गिरोह वर्तमान में कार्यस्थानों या सर्वरों पर क्रूर हमले कर रहे हैं दूरस्थ आरडीपी पहुंच के लिए कॉन्फ़िगर किया गया है जिसे कमजोर रूप से इंटरनेट पर उजागर किया गया है साख। इन प्रणालियों को बाद में तथाकथित "आरडीपी दुकानों" पर बेचा जाता है, जहां से रैंसमवेयर गिरोह अक्सर उन प्रणालियों का चयन करते हैं जिनके बारे में उनका मानना ​​​​है कि वे उच्च-मूल्य वाले लक्ष्य के नेटवर्क के अंदर स्थित हो सकते हैं।
• हैक किए गए नेटवर्किंग उपकरणों के विक्रेता: साइबर अपराध गिरोह किसी कंपनी के नेटवर्किंग उपकरण, जैसे वीपीएन सर्वर, फ़ायरवॉल, या अन्य एज डिवाइसों पर नियंत्रण लेने के लिए सार्वजनिक रूप से ज्ञात कमजोरियों का भी उपयोग कर रहे हैं। इन उपकरणों और उनके द्वारा सुरक्षित/कनेक्ट किए गए आंतरिक नेटवर्क तक पहुंच हैकिंग मंचों पर या रैंसमवेयर गिरोहों को सीधे बेची जाती है।
• कंप्यूटर विक्रेता पहले से ही मैलवेयर से संक्रमित हैं: आज के कई मैलवेयर बॉटनेट अक्सर कॉर्पोरेट सिस्टम के लिए संक्रमित कंप्यूटरों को खंगालेंगे नेटवर्क और फिर रैंसमवेयर सहित अन्य साइबर अपराध संचालन के लिए इन उच्च-मूल्य प्रणालियों तक पहुंच बेचते हैं गिरोह.

इन तीन प्रकार के प्रारंभिक एक्सेस वैक्टर से सुरक्षा करना अक्सर रैंसमवेयर से बचने का सबसे आसान तरीका है।

हालाँकि, पहले दो से बचाव के लिए आम तौर पर अच्छी पासवर्ड नीतियों का अभ्यास करना और उपकरणों को अद्यतन रखना शामिल है, तीसरे वेक्टर से बचाव करना कठिन है।

ऐसा इसलिए है क्योंकि मैलवेयर बॉटनेट ऑपरेटर अक्सर उपयोगकर्ताओं को अपने सिस्टम पर मैलवेयर इंस्टॉल करने के लिए बरगलाने के लिए सोशल इंजीनियरिंग पर भरोसा करते हैं, भले ही कंप्यूटर अप-टू-डेट सॉफ़्टवेयर चला रहे हों।

यह आलेख उन ज्ञात मैलवेयर प्रकारों पर केंद्रित है जिनका उपयोग पिछले दो वर्षों में रैंसमवेयर इंस्टॉल करने के लिए किया गया है।

के सुरक्षा शोधकर्ताओं की सहायता से संकलित उन्नत इंटेलिजेंस, बाइनरी रक्षा, और सोफोस, नीचे दी गई सूची किसी भी संगठन के लिए "कोड रेड" क्षण के रूप में काम करनी चाहिए।

एक बार जब इनमें से किसी भी मैलवेयर स्ट्रेन का पता चल जाता है, तो सिस्टम प्रशासकों को सब कुछ छोड़ देना चाहिए, सिस्टम को ऑफ़लाइन कर देना चाहिए और सर्वोच्च प्राथमिकता के रूप में ऑडिट करके मैलवेयर को हटा देना चाहिए।

ZDNet आगे भी सूची को अद्यतन रखेगा।

इमोटेट आज का सबसे बड़ा मैलवेयर बॉटनेट माना जाता है।

ऐसे कुछ मामले हैं जहां इमोटेट ने रैंसमवेयर गिरोहों से सीधे तौर पर निपटा है, लेकिन कई रैंसमवेयर संक्रमणों का पता प्रारंभिक इमोटेट संक्रमणों से लगाया गया है।

आमतौर पर, इमोटेट ने अपने संक्रमित सिस्टम तक पहुंच अन्य मैलवेयर गिरोहों को बेच दी, जिन्होंने बाद में रैंसमवेयर गिरोहों को अपनी पहुंच बेच दी।

आज, इमोटेट से जुड़ी सबसे आम रैंसमवेयर संक्रमण श्रृंखला है: इमोटेट—ट्रिकबॉट—रयूक

ट्रिकबॉट इमोटेट के समान एक मैलवेयर बॉटनेट और साइबर क्राइम है। ट्रिकबॉट अपने स्वयं के पीड़ितों को संक्रमित करता है लेकिन अपनी संख्या बढ़ाने के लिए इमोटेट-संक्रमित सिस्टम तक पहुंच खरीदने के लिए भी जाना जाता है।

पिछले दो वर्षों में, सुरक्षा शोधकर्ताओं ने ट्रिकबॉट को साइबर क्राइम गिरोहों को अपने सिस्टम तक पहुंच बेचते देखा है, जिन्होंने बाद में रयूक और बाद में कोंटी रैंसमवेयर को तैनात किया।

ट्रिकबॉट-कोंटी
ट्रिकबॉट-रयूक

बाज़ार लोडर वर्तमान में इसे एक मॉड्यूलर बैकडोर माना जाता है जिसे लिंक वाले समूह द्वारा विकसित किया गया है या जो मुख्य ट्रिकबॉट गिरोह से अलग हो गया है। किसी भी तरह से, चाहे वे कैसे भी बने हों, समूह ट्रिकबीटी के मॉडल का अनुसरण कर रहा है और जिन सिस्टमों को वे संक्रमित करते हैं, उन तक पहुंच प्रदान करने के लिए पहले से ही रैंसमवेयर गिरोहों के साथ साझेदारी कर चुका है।

वर्तमान में, बाज़ारलोडर को रयूक रैंसमवेयर से संक्रमण के मूल बिंदु के रूप में देखा गया है [1, 2, 3].

बाज़ारलोडर-रयूक

QakBot, पिंकस्लिपबॉट, क्यूबॉट, या क्वैकबॉट को कभी-कभी इन्फोसेक समुदाय के अंदर "धीमे" इमोटेट के रूप में संदर्भित किया जाता है क्योंकि यह आमतौर पर वही करता है जो इमोटेट करता है, लेकिन कुछ महीने बाद।

इमोटेट गिरोह द्वारा अपने सिस्टम को रैंसमवेयर तैनात करने के लिए उपयोग करने की अनुमति देने के साथ, QakBot ने भी हाल ही में विभिन्न रैंसमवेयर गिरोहों के साथ साझेदारी की है। पहले मेगाकॉर्टेक्स के साथ, फिर प्रोलॉक के साथ, और वर्तमान में एग्रेगोर रैंसमवेयर गिरोह के साथ.

QakBot-मेगाकोर्टेक्स
QakBot-प्रोलॉक
QakBot-एग्रेगोर

एसडीबीबॉट नामक साइबरक्राइम समूह द्वारा संचालित एक मैलवेयर स्ट्रेन है TA505.

हालाँकि यह कोई सामान्य मैलवेयर स्ट्रेन नहीं है देखा गया है घटनाओं के मूल बिंदु के रूप में जहां क्लॉप रैनसमवेयर तैनात किया गया था।

एसडीबीबॉट-क्लॉप

ड्रिडेक्स यह एक और बैंकिंग ट्रोजन गिरोह है जो 2017 में इमोटेट और ट्रिकबॉट द्वारा निर्धारित उदाहरणों के बाद "मैलवेयर डाउनलोडर" के रूप में पुनर्गठित हुआ है।

जबकि अतीत में ड्रिडेक्स बॉटनेट ने इंटरनेट पर यादृच्छिक उपयोगकर्ताओं को लॉकी रैंसमवेयर वितरित करने के लिए स्पैम अभियानों का उपयोग किया था, पिछले कुछ वर्षों से, वे उच्च-मूल्य के विरुद्ध अधिक लक्षित हमलों के लिए BitPaymer या DoppelPaymer रैंसमवेयर स्ट्रेन को छोड़ने के लिए संक्रमित कंप्यूटर का उपयोग भी कर रहे हैं लक्ष्य.

ड्रिडेक्स-बिटपेमर
ड्रिडेक्स-डोपेलपेमर

"इंस्टॉल रैंसमवेयर" गेम में देर से आगमन, ज़्लोडर तेजी से प्रगति कर रहा है और पहले से ही एग्रेगोर और रयूक रैंसमवेयर स्ट्रेन के ऑपरेटरों के साथ साझेदारी स्थापित कर चुका है।

यदि कोई मैलवेयर ऑपरेशन है जिसमें विस्तार करने की क्षमता और कनेक्शन हैं, तो वह यही है।

ज़्लोडर-एग्रेगोर
ज़्लोडर-रयूक

पर ध्यान दें #ज़लोडर!!! विश्वसनीय स्रोतों से व्यापक रिपोर्टिंग ने इसकी पुष्टि की है #ज़लोडर रैंसमवेयर को जन्म दिया है। मेरा सुझाव है कि आप इसके साथ वैसा ही व्यवहार करें जैसा आप करेंगे #बाज़ारलोडर. https://t.co/vnGixZjfWx

- केटी निकल्स (@likethecoins) 13 नवंबर 2020

ब्यूर, या ब्यूर लोडर, एक मैलवेयर ऑपरेशन है जिसे पिछले साल के अंत में लॉन्च किया गया था, लेकिन रैंसमवेयर समूहों के साथ साझेदारी के लिए भूमिगत साइबर अपराध में पहले ही प्रतिष्ठा और कनेक्शन स्थापित कर चुका है।

प्रति सोफोस, कुछ घटनाएं जहां रयूक रैंसमवेयर की खोज की गई है, उन्हें कुछ दिन पहले ब्यूर संक्रमण से जोड़ा गया है।

बुएर-रयूक

फ़ोरपीएक्स, या ट्रिक, छोटे मैलवेयर बॉटनेट में से एक है, लेकिन कम खतरनाक नहीं है।

इस साल की शुरुआत में देखे गए एवाडॉन रैंसमवेयर के संक्रमण को फ़ॉरपीक्स से जोड़ा गया है। हालाँकि न तो एवाडॉन और न ही फ़ोरपीक्स सामान्य नाम हैं, उन्हें इमोटेट, ट्रिकबॉट और अन्य के समान ही ध्यान दिया जाना चाहिए।

फ़ोरपीएक्स-एवाडॉन

जापान है निशाने पर #त्रिक#फॉरपीएक्स स्पैम अभियान. #अवाड्डन#रैंसमवेयर वितरित किया जाता है। के समान #सेर्बर#गैंडक्रैब#नेमटी इस चैनल के माध्यम से pic.twitter.com/20S6T3JFmv

- मिल्क्रीम (@milkr3am) 9 जून 2020

कोबाल्टस्ट्राइक कोई मैलवेयर बॉटनेट नहीं है. यह वास्तव में साइबर-सुरक्षा शोधकर्ताओं के लिए विकसित एक प्रवेश परीक्षण उपकरण है जिसका अक्सर मैलवेयर गिरोहों द्वारा दुरुपयोग भी किया जाता है।

कंपनियाँ कोबाल्टस्ट्राइक से "संक्रमित" नहीं होतीं। हालाँकि, कई रैंसमवेयर गिरोह अपनी घुसपैठ के हिस्से के रूप में कोबाल्टस्ट्राइक घटकों को तैनात करते हैं।

टूल का उपयोग अक्सर आंतरिक नेटवर्क के अंदर कई सिस्टम को नियंत्रित करने और वास्तविक रैंसमवेयर हमले के अग्रदूत के रूप में किया जाता है।

ऊपर सूचीबद्ध कई संक्रमण शृंखलाएँ वास्तव में हैं [मैलवेयरबॉटनेट]—कोबाल्टस्ट्राइक—[रैंसमवेयर], कोबाल्टस्ट्राइक आमतौर पर दोनों को जोड़ने वाले सबसे आम मध्यस्थ के रूप में कार्य करता है।

हमने अपने स्रोतों के अनुरोध पर कोबाल्टस्ट्राइक को अपनी सूची में शामिल किया, जो इसे वास्तविक मैलवेयर स्ट्रेन के रूप में खतरनाक मानते हैं। यदि आप इसे अपने नेटवर्क पर देखते हैं और आप प्रवेश परीक्षण नहीं चला रहे हैं, तो आप जो कुछ भी कर रहे हैं उसे रोकें, सिस्टम को ऑफ़लाइन लें, और हमले के प्रवेश बिंदु के लिए हर चीज़ का ऑडिट करें।