REvil, एक भयानक रैंसमवेयर-ए-ए-सर्विस (RaaS) ऑपरेशन, जो पहली बार अप्रैल 2019 के अंत में सामने आया था, ने वापसी की है। छह महीने की निष्क्रियता के बाद - रूसी अधिकारियों द्वारा छापे के बाद - रैंसमवेयर समूह ने फिर से संचालन शुरू कर दिया है।
नए रैंसमवेयर नमूनों के विश्लेषण से पता चलता है कि डेवलपर के पास रेविल के स्रोत कोड तक पहुंच है, जिसका अर्थ है कि खतरा समूह फिर से उभरा है। इन संदेहों को तब और बल मिला जब रैंसमवेयर क्रू की साइट डार्क वेब पर फिर से शुरू हुई।
हमने पहले बहुत सारे रैंसमवेयर समूह देखे हैं, लेकिन क्या REvil को खास बनाता है? साइबर जगत के लिए समूह की वापसी का क्या अर्थ है? चलो पता करते हैं!
रेविल रैंसमवेयर को क्या खास बनाता है?
रेविल ने हाई-प्रोफाइल और अत्यधिक आकर्षक लक्ष्यों के बाद जाने और अपने पीड़ितों से अत्यधिक भुगतान की मांग करने के लिए एक प्रतिष्ठा बनाई। यह दोहरी जबरन वसूली की रणनीति अपनाने वाले पहले समूहों में से एक है जिसमें उन्होंने पीड़ित के डेटा को बाहर निकाला और इसे एन्क्रिप्ट किया।
डबल जबरन वसूली रैंसमवेयर यह योजना रेविल को उच्च वित्तीय लाभ के लिए दो फिरौती मांगने की अनुमति देती है। के साथ एक साक्षात्कार में
रूसी ओएसआईएनटी, समूह डेवलपर्स ने दावा किया कि उन्होंने बड़े उद्यमों को लक्षित करके एक वर्ष में $100 मिलियन से अधिक कमाए। हालांकि, इसका केवल एक अंश ही डेवलपर्स के पास गया, जबकि सहयोगी कंपनियों को शेर का हिस्सा मिला।प्रमुख रेविल रैंसमवेयर अटैक
रेविल रैंसमवेयर ग्रुप इनमें से कुछ के पीछे रहा है 2020-21 का सबसे बड़ा रैंसमवेयर हमला. समूह पहली बार 2020 में सुर्खियों में आया जब इसने ट्रैवेलेक्स पर हमला किया, जिससे अंततः कंपनी का निधन हो गया। अगले वर्ष, रेविल ने अत्यधिक आकर्षक साइबर हमलों का मंचन करके सुर्खियां बटोरना शुरू कर दिया, जिसने सार्वजनिक बुनियादी ढांचे और आपूर्ति श्रृंखलाओं को बाधित कर दिया।
समूह ने एसर, क्वांटा कंप्यूटर, जेबीएस फूड्स और आईटी प्रबंधन और सॉफ्टवेयर प्रदाता कसिया जैसी कंपनियों पर हमला किया। समूह के कुछ लिंक होने की संभावना थी कुख्यात औपनिवेशिक पाइपलाइन हमला, जिसने अमेरिका में ईंधन आपूर्ति श्रृंखला को बाधित कर दिया।
कासिया रेविल रैंसमवेयर हमले के बाद, समूह कुछ समय के लिए चुप हो गया ताकि अवांछित ध्यान को कम किया जा सके। बहुत सी अटकलें थीं कि समूह 2021 की गर्मियों में हमलों की एक नई श्रृंखला की योजना बना रहा था, लेकिन कानून प्रवर्तन के पास आरईविल के ऑपरेटरों के लिए अन्य योजनाएं थीं।
रेविल साइबर गैंग के लिए गणना का दिन
जैसे ही कुख्यात रैंसमवेयर गिरोह नए हमलों के लिए फिर से सामने आया, उन्होंने पाया कि उनके बुनियादी ढांचे से समझौता किया जा रहा है और वे उनके खिलाफ हो गए हैं। जनवरी 2022 में, रूसी राज्य सुरक्षा सेवा FSB ने घोषणा की कि उसने संयुक्त राज्य अमेरिका के अनुरोध पर समूह की गतिविधियों को बाधित कर दिया है।
गिरोह के कई सदस्यों को गिरफ्तार किया गया, और उनकी संपत्ति जब्त की गई, जिसमें लाखों अमेरिकी डॉलर, यूरो और रूबल के साथ-साथ 20 लग्जरी कारें और क्रिप्टोक्यूरेंसी वॉलेट शामिल हैं। आरईविल रैंसमवेयर गिरफ्तारियां पोलैंड सहित पूर्वी यूरोप में भी की गईं, जहां अधिकारियों ने कासिया हमले में एक संदिग्ध को रखा।
समूह के प्रमुख सदस्यों की गिरफ्तारी के बाद रेविल के पतन का सुरक्षा समुदाय में स्वाभाविक रूप से स्वागत किया गया था, और कई लोगों ने माना कि खतरा पूरी तरह से समाप्त हो गया था। हालाँकि, राहत की भावना अल्पकालिक थी क्योंकि गिरोह ने अब अपना संचालन फिर से शुरू कर दिया है।
रेविल रैंसमवेयर का पुनरुत्थान
के शोधकर्ता सिक्योरवर्क्स मार्च से एक मैलवेयर नमूने का विश्लेषण किया और संकेत दिया कि गिरोह वापस कार्रवाई में हो सकता है। शोधकर्ताओं ने पाया कि डेवलपर के पास REvil द्वारा उपयोग किए गए मूल स्रोत कोड तक पहुंच होने की संभावना है।
रीविल लीक वेबसाइट द्वारा उपयोग किया गया डोमेन भी फिर से काम करना शुरू कर दिया, लेकिन अब यह आगंतुकों को एक नए यूआरएल पर रीडायरेक्ट करता है जहां 250 से अधिक रेविल पीड़ित संगठन सूचीबद्ध हैं। सूची में रेविल के पुराने पीड़ितों और कुछ नए लक्ष्यों का मिश्रण है।
ऑयल इंडिया-एक भारतीय पेट्रोलियम व्यवसाय कंपनी-नए पीड़ितों में सबसे प्रमुख थी। कंपनी ने डेटा उल्लंघन की पुष्टि की और 7.5 मिलियन डॉलर की फिरौती की मांग की गई। जबकि हमले ने अटकलें लगाईं कि रेविल ने ऑपरेशन फिर से शुरू कर दिया था, फिर भी इस बारे में सवाल थे कि क्या यह एक कॉपीकैट ऑपरेशन था।
रेविल की वापसी की पुष्टि करने का एकमात्र तरीका रैंसमवेयर ऑपरेशन के एन्क्रिप्टर का एक नमूना ढूंढना और यह देखना था कि क्या इसे मूल स्रोत कोड से संकलित किया गया था।
अप्रैल के अंत में, अवास्ट के शोधकर्ता जैकब क्राउस्टेक ने रैंसमवेयर एनक्रिप्टर की खोज की और पुष्टि की कि यह वास्तव में एक आरईविल संस्करण था। नमूने ने फ़ाइलों को एन्क्रिप्ट नहीं किया लेकिन फ़ाइलों में एक यादृच्छिक विस्तार जोड़ा। सुरक्षा विश्लेषकों ने कहा कि यह रैंसमवेयर डेवलपर्स द्वारा पेश किया गया एक बग था।
कई सुरक्षा विश्लेषकों ने कहा है कि नया रैंसमवेयर नमूना मूल स्रोत कोड से जुड़ा हुआ है, जिसका अर्थ है कि गिरोह का कोई व्यक्ति-उदाहरण के लिए, एक कोर डेवलपर-शामिल होना चाहिए।
रेविल्स ग्रुप की संरचना
इस साल की शुरुआत में कथित गिरफ्तारी के बाद रेविल के फिर से सामने आने से समूह की संरचना और रूसी सरकार के साथ उसके संबंधों पर सवाल खड़े हो गए हैं। रूस-यूक्रेन संघर्ष की शुरुआत से पहले सफल अमेरिकी कूटनीति के कारण गिरोह अंधेरा हो गया।
कई लोगों के लिए, समूह के अचानक पुनरुत्थान से पता चलता है कि रूस चल रहे भू-राजनीतिक तनावों में इसे एक बल गुणक के रूप में उपयोग करना चाहता है।
चूंकि अभी तक किसी व्यक्ति की पहचान नहीं हुई है, इसलिए यह स्पष्ट नहीं है कि ऑपरेशन के पीछे कौन है। क्या ये वही व्यक्ति हैं जिन्होंने पिछले ऑपरेशन को चलाया था, या एक नया समूह लिया है?
नियंत्रण समूह की संरचना अभी भी एक रहस्य है। लेकिन इस साल की शुरुआत में गिरफ्तारियों को देखते हुए, यह संभावना है कि समूह में कुछ ऑपरेटर हो सकते हैं जो पहले REvil का हिस्सा नहीं थे।
कुछ विश्लेषकों के लिए, रैंसमवेयर समूहों के लिए नीचे जाना और अन्य रूपों में फिर से प्रकट होना असामान्य नहीं है। हालांकि, कोई भी इस संभावना को पूरी तरह से समाप्त नहीं कर सकता है कि कोई व्यक्ति ब्रांड की प्रतिष्ठा को पैर जमाने के लिए उपयोग कर रहा है।
रेविल रैंसमवेयर अटैक से बचाव
रेविल के सरगना की गिरफ्तारी साइबर सुरक्षा के लिए एक बड़ा दिन था, खासकर जब रैंसमवेयर समूह सार्वजनिक संस्थानों से लेकर अस्पतालों और स्कूलों तक हर चीज को निशाना बना रहे थे। लेकिन जैसा कि ऑनलाइन आपराधिक गतिविधि में किसी भी व्यवधान के साथ देखा गया, इसका मतलब रैंसमवेयर महामारी का अंत नहीं था।
रेविल के मामले में खतरा दोहरी जबरन वसूली योजना है जिसमें समूह आपके डेटा को बेचने की कोशिश करेगा और एक ब्रांड की छवि और ग्राहक संबंधों को खराब करेगा।
सामान्य तौर पर, ऐसे हमलों का मुकाबला करने के लिए एक अच्छी रणनीति है अपने नेटवर्क को सुरक्षित करना और सिमुलेशन परीक्षण करना। रैंसमवेयर हमला अक्सर अप्रकाशित कमजोरियों के कारण होता है, और सिमुलेशन हमले आपको उनकी पहचान करने में मदद कर सकते हैं।
शमन करने की एक अन्य महत्वपूर्ण रणनीति यह है कि आपके नेटवर्क तक पहुँचने से पहले सभी को सत्यापित किया जाए। इस प्रकार, एक शून्य-विश्वास रणनीति फायदेमंद हो सकती है क्योंकि यह किसी पर कभी भी भरोसा न करने के मूल सिद्धांत पर काम करती है और प्रत्येक उपयोगकर्ता और डिवाइस को नेटवर्क संसाधनों तक पहुंच प्रदान करने से पहले सत्यापित करती है।
