हैकिंग का आनंद लें: REvil Ransomware Attack

न्यूयॉर्क स्थित एक फर्म, ग्रुबमन शायर मीसेलस एंड सैक्स
मनोरंजन और मीडिया उद्योगों सहित कानूनी सेवाएं प्रदान करता है
लेडी गागा, मैडोना, एल्टन जॉन, बारबरा स्ट्रिसैंड, ब्रूस स्प्रिंगस्टीन, मारिया
कैरी और मैरी जे ब्लीज और प्रियंका चोपड़ा, रैंसमवेयर की चपेट में आ गए हैं
आक्रमण।

साइबर अपराधियों ने आरईवीएल रैनसमवेयर का उपयोग करके लॉ फर्म पर हमला किया
(Sodinokibi के रूप में भी जाना जाता है)। हैकर्स अब 756 को रिहा करने की धमकी दे रहे हैं
कथित तौर पर चोरी किए गए डेटा के गीगाबाइट – टेलीफोन नंबर, ईमेल सहित
पते, गैर-प्रकटीकरण समझौते, ग्राहक अनुबंध और व्यक्तिगत
पत्र – व्यवहार। हालांकि, सेलिब्रिटी लॉ फर्म अब और बसने के लिए घट रही है
हमलावरों ने फिरौती के अनुरोध को $ 42 मिलियन तक बढ़ा दिया है और धमकी दी है
जो जानकारी उन्होंने दावा की है उसे “एक टन गंदा” प्रकाशित करें
कपड़े धोने “राष्ट्रपति ट्रम्प के बारे में।

चूंकि यह जानकारी सार्वजनिक डोमेन में है, आप प्राप्त कर सकते हैं
किसी भी समाचार चैनल या वेबसाइटों से आगे का अद्यतन। यहाँ मैं साझा करने जा रहा हूँ
REvil रैंसमवेयर का पूरा विवरण।

रेविल
रैंसमवेयर –

रेविल, जिसे सोडिनोबिबी, ब्लूबैकग्राउंड या सोडिन के नाम से भी जाना जाता है,
एक रैंसमवेयर है जो एक भूमिगत सहबद्ध कार्यक्रम द्वारा समर्थित है, वितरित करने के लिए रणनीति की एक विस्तृत श्रृंखला का उपयोग करता है
रैंसमवेयर और 30% से 40% कमीशन कमाते हैं। यह 2019 की पहली छमाही में दिखाई दिया।
इसने ओरेकल वेबलॉजिक प्लेटफॉर्म जैसी दूरस्थ सेवाओं में कमजोरियों का फायदा उठाया
(CVE-2019-2725) और हमलों को अंजाम दिया MSP प्रदाता Oracle भेद्यता हमलावरों के लिए आसान थी
शोषण करें, जैसे कि WebLogic सर्वर से HTTP एक्सेस कोई भी कर सकता है
आक्रमण।

निष्पादन विधि –

हैकर्स ने निष्पादित करने के लिए CVE-2019-2725 भेद्यता का उपयोग किया
Oracle WebLogic सर्वर पर एक PowerShell कमांड। ऐसा करने से उन्हें अपलोड करने की अनुमति मिल गई
सर्वर के लिए एक ड्रॉपर, जो तब पेलोड को स्थापित करता है – सोडिन
रैंसमवेयर। बग के लिए पैच अप्रैल में जारी किए गए थे, हालांकि, एक समान
भेद्यता का पता चला था – बाद में CVE-2019-2729।

REvil का उपयोग विभिन्न तरीकों से उपयोगकर्ताओं की मशीनों पर किया जाता है
एमएसपी। कुछ उदाहरणों में, हमलावरों ने वेब्रोट और कसीया रिमोट का इस्तेमाल किया
ट्रोजन को प्रत्यारोपित करने के लिए एक्सेस कंसोल। अन्य मामलों में, हैकर्स घुस गए
आरडीपी कनेक्शन का उपयोग कर एमएसपी इंफ्रास्ट्रक्चर, विशेषाधिकार प्राप्त, निष्क्रिय
सुरक्षा समाधान और बैकअप, और फिर ग्राहक को रैंसमवेयर डाउनलोड किया
कंप्यूटर।

सोडिनोकोबी या रेविल रैनसमवेयर कुछ बुनियादी प्रणाली एकत्र करता है
जानकारी और इसे उत्पन्न एन्क्रिप्शन के साथ रजिस्ट्री में सहेजता है
मापदंडों। यदि dbg विकल्प कॉन्फिग में नहीं है, तो UI भाषा
और कीबोर्ड लेआउट मूल्यों की जाँच की जाती है, और मैलवेयर बस बाहर निकल जाएगा
सिस्टम।

व्यापार मॉडल –

Sodinokibi या REvil ransomeware Ransomware-as-a-Service पर काम करता है
(रास) मॉडल। सोदिनोकोबी में 41 सक्रिय सहयोगी कार्यक्रम हैं। प्रत्येक सहयोगी का
Sodinokibi का संस्करण एक विशिष्ट आईडी के साथ अनुकूलित हो जाता है ताकि वे प्राप्त कर सकें
भुगतान। सोडीनोकोबी से जुड़े लोग हर फिरौती का 60 से 70 प्रतिशत हिस्सा रखते हैं
भुगतान।

जुलाई 2019 में, Sodinokibi विज्ञापनदाताओं ने पोस्ट किया
एक लोकप्रिय हैकिंग फोरम UNKN पर भर्ती की घोषणा। वे
विज्ञापन में उल्लेख किया गया है कि वे अनुभवी व्यक्तियों की तलाश कर रहे थे
अपनी गतिविधि का विस्तार करने के लिए और यह “सीमित” के साथ एक निजी ऑपरेशन था
सीटों की संख्या “उपलब्ध है।

फ़ोरम पोस्ट ने जोर देकर कहा कि व्यापार करना मना है
यूक्रेन सहित स्वतंत्र राज्यों (सीआईएस) क्षेत्र के राष्ट्रमंडल में,
रूस, बेलारूस और मोल्दोवा।

आप नीचे दिए गए उनके कुछ हमलों को उनकी भर्ती के बाद देख सकते हैं
प्रक्रिया।

§
अगस्त 2019, सोदिन पर 22 स्थानीय हमले हुए
टेक्सास में प्रशासन और $ 2.5 के सामूहिक फिरौती की मांग की
दस लाख।

§
अगस्त 2019: हैकर ने रिमोट डेटा से हमला किया
यू.एस. में दंत चिकित्सा पद्धतियों से बैकअप सेवा और एन्क्रिप्टेड फाइलें।

§
दिसंबर 2019: हैकर एक और आईटी विक्रेता को मारा जो सैकड़ों की सेवा कर रहा है
दंत चिकित्सा पद्धतियों, एक संवेदनशील शोषक द्वारा ग्राहकों के कंप्यूटरों को संक्रमित करना
रिमोट एक्सेस टूल।

§
दिसंबर 2019: उनका दावा है कि वे खिलाफ हमला करते हैं
CyrusOne डेटा सेंटर। UNKN के दावे के अनुसार,
वे पहले भी कंपनी से फाइलें चुरा चुके हैं
उनके नेटवर्क को एन्क्रिप्ट करना।

§
दिसंबर 2019: डेवलपर्स ने अपने फिरौती नोट को बदल दिया
पीड़ितों को “मीरा” की शुभकामना देने वाले नए संदेश को शामिल करने के लिए छुट्टियों पर
क्रिसमस और हैप्पी छुट्टियाँ ”।

§
दिसंबर 2019, वे ट्रैवेलेक्स पर हमला करते हैं और कंपनी को अपने सभी ऑफ़लाइन लेने होंगे
संगनक् सिस्टम।

§
जनवरी 2020: सोडिनोकिबी ने प्रकाशित करने की धमकी दी
डेटा एक जर्मन ऑटोमोटिव आपूर्तिकर्ता GEDIA ऑटोमोटिव ग्रुप से चुराया गया है। वे
एक MS Excel स्प्रेडशीट प्रकाशित की जिसमें AdRecon रिपोर्ट है
सक्रिय निर्देशिका वातावरण पर जानकारी।

§
फरवरी 2020: Sodinokibi के ऑपरेटरों
रैंसमवेयर (रेविल)
आग्रह करने लगा
कंप्यूटर को एन्क्रिप्ट करने से पहले अपने पीड़ित के डेटा को कॉपी करने के लिए सहयोगी।

§
फरवरी 2020: के ऑपरेटरों Sodinokibi Ransomware डाउनलोड प्रकाशित
फ़ाइलों का लिंक जो वे दावा करते हैं वह वित्तीय और काम के दस्तावेज हैं
और ग्राहकों के निजी डेटा को यू.एस.
फैशन हाउस केनेथ कोल प्रोडक्शंस।

रोकथाम –

डब्ल्यूई निम्नलिखित कार्यों के लिए अनुशंसा करते हैं
इस तरह के रैन्समवेयर अटैक को रोकें।

Ø
अतिरिक्त सतर्कता और थोड़ा खुला नहीं
संदिग्ध दिखने वाले ईमेल।

Ø
अप-टू-डेट बैकअप बनाए रखें सबसे
महत्वपूर्ण फाइलें।

Ø
पासवर्ड के भंडारण के लिए गंभीरता से लें
दूरस्थ पहुँच।

Ø
दो-कारक प्रमाणीकरण का उपयोग करें।

Ø
लॉग करें और केंद्रीय रूप से वेब, एप्लिकेशन और एकत्र करें
ऑपरेटिंग सिस्टम ईवेंट।

Ø
चलाने के लिए उपयोग की जाने वाली खाता पहुंच को प्रतिबंधित करें
WebLogic प्रक्रिया।

Ø
से Egress नेटवर्क संचार के लिए मॉनिटर
डाटा सेंटर सिस्टम।

Ø
सेवा या प्रणाली की अप्रत्याशित गतिविधि
खाते (WebLogic उपयोगकर्ता)।

Ø
स्कैन करें और अपनी भेद्यता मुद्रा को कम करें।

Ø
आउटबाउंड डेटा सेंटर संचार प्रतिबंधित करें।

Ø
आपदा रिकवरी के लिए हमेशा तैयार, सहित
डेटा बैकअप और रिकवरी को बनाए रखना और परीक्षण करना।

निष्कर्ष –

सोडिनोकिबी, रेविल, सोडिन – आप इसे क्या कहते हैं, इसकी परवाह किए बिना, यह खतरनाक है
साइबर हमले के नक्शे पर अब रैंसमवेयर।
रेनसमवेयर और शून्य-दिन वितरित करने के लिए रेविल हमलावर शून्य-दिन के शोषण का उपयोग करते हैं
शोषण तकनीक अन्यथा पूरी तरह से विकसित प्रणालियों पर काम कर सकती है। आईटी इस
डेवलपर्स को हमेशा लगता है कि उनकी आस्तीन में नए अप्रत्याशित चालें हैं, और एकदम सही हैं
क्रिप्टो कार्यान्वयन का मतलब है कि पीड़ितों को भुगतान करना होगा अन्यथा वे खो देंगे
उनका सारा डेटा।