दुरुपयोग किया गया विंडोज क्विक असिस्ट टूल ब्लैक बस्ता रैनसमवेयर खतरा पैदा करने वाले अभिनेताओं की मदद कर सकता है
रिमोट-एक्सेस टूल का उपयोग उद्यमों के लिए दोहरी चुनौती पेश करता है, खासकर जब परिष्कृत सामाजिक इंजीनियरिंग रणनीति में कुशल खतरे वाले अभिनेताओं द्वारा इसका शोषण किया जाता है। हाल ही में, Microsoft Threat Intelligence ने एक ब्लैक बस्ता रैनसमवेयर फ़िशिंग अभियान के उभरने पर प्रकाश डाला, जिसे स्टॉर्म-1811 के रूप में पहचाने जाने वाले एक वित्तीय रूप से प्रेरित समूह द्वारा संचालित किया गया था। यह समूह एक सामाजिक रूप से इंजीनियर दृष्टिकोण का उपयोग करता है, जो Microsoft समर्थन या आंतरिक IT कर्मियों जैसी विश्वसनीय संस्थाओं के रूप में प्रच्छन्न होता है, ताकि पीड़ितों को दूरस्थ कनेक्शन की सुविधा देने वाले Windows एप्लिकेशन क्विक असिस्ट के माध्यम से दूरस्थ पहुँच प्रदान करने के लिए प्रेरित किया जा सके।
एक बार जब भरोसा स्थापित हो जाता है और पहुँच प्रदान की जाती है, तो स्टॉर्म-1811 विभिन्न मैलवेयर तैनात करने के लिए आगे बढ़ता है, अंततः ब्लैक बस्ता रैनसमवेयर के वितरण में परिणत होता है। यह विधि उस आसानी को रेखांकित करती है जिसके साथ वैध रिमोट-एक्सेस टूल को पारंपरिक सुरक्षा उपायों को दरकिनार करते हुए कुशल सामाजिक-इंजीनियरिंग कौशल वाले खतरे वाले अभिनेताओं द्वारा हेरफेर किया जा सकता है। इन उन्नत सोशल इंजीनियरिंग युक्तियों के लिए एंटरप्राइज़ सुरक्षा टीमों से सक्रिय प्रतिक्रिया की आवश्यकता होती है, जिसमें बढ़ी हुई सतर्कता और व्यापक कर्मचारी प्रशिक्षण पर जोर दिया जाता है।
स्टॉर्म-1811 की कार्यप्रणाली में विशिंग, ईमेल बमबारी और उपयोगकर्ताओं को धोखा देने और समझौता करने के लिए आईटी कर्मियों का प्रतिरूपण शामिल है। हमलावर विशिंग कॉल शुरू करने से पहले पीड़ितों को ईमेल से भर देते हैं, पीड़ितों को दुर्भावनापूर्ण क्विक असिस्ट अनुरोध स्वीकार करने के लिए मजबूर करने के लिए परिणामी भ्रम का फायदा उठाते हैं। यह सुनियोजित बमबारी पीड़ितों को भ्रमित करने का काम करती है, जिससे सफल हेरफेर और बाद में मैलवेयर की तैनाती का रास्ता साफ हो जाता है।
माइक्रोसॉफ्ट के निरीक्षणों से पता चलता है कि स्टॉर्म-1811 विभिन्न मैलवेयर का उपयोग करता है, जिसमें ककबॉट और कोबाल्ट स्ट्राइक शामिल हैं, जो स्क्रीनकनेक्ट और नेटसपोर्ट मैनेजर जैसे रिमोट मॉनिटरिंग टूल के माध्यम से डिलीवर किए जाते हैं। एक बार पहुँच स्थापित हो जाने के बाद, हमलावर दुर्भावनापूर्ण पेलोड को डाउनलोड करने और निष्पादित करने के लिए स्क्रिप्टेड कमांड का उपयोग करते हैं, जिससे समझौता किए गए सिस्टम पर उनका नियंत्रण बना रहता है। इसके अतिरिक्त, स्टॉर्म-1811 दृढ़ता बनाए रखने और नेटवर्क पर ब्लैक बस्ता रैनसमवेयर को तैनात करने के लिए ओपनएसएसएच टनलिंग और पीएसएक्सेक जैसे टूल का लाभ उठाता है।
ऐसे हमलों को कम करने के लिए, संगठनों को सलाह दी जाती है कि वे उपयोग में न होने पर रिमोट-एक्सेस टूल को अनइंस्टॉल करें और शून्य-विश्वास आर्किटेक्चर के साथ विशेषाधिकार एक्सेस प्रबंधन समाधान लागू करें। नियमित कर्मचारी प्रशिक्षण सामाजिक इंजीनियरिंग रणनीति और फ़िशिंग घोटालों के बारे में जागरूकता पैदा करने में सर्वोपरि है, कर्मचारियों को संभावित खतरों की पहचान करने और उन्हें विफल करने के लिए सशक्त बनाता है। उन्नत ईमेल समाधान और ईवेंट मॉनिटरिंग सुरक्षा को और मजबूत करते हैं, जिससे दुर्भावनापूर्ण गतिविधियों का तुरंत पता लगाना और उन्हें कम करना संभव होता है।
परिष्कृत सोशल इंजीनियरिंग के माध्यम से रिमोट-एक्सेस टूल का शोषण साइबर खतरों के विकसित होते परिदृश्य को रेखांकित करता है। इन चुनौतियों का समाधान करने के लिए तकनीकी सुरक्षा, कर्मचारी शिक्षा और दुर्भावनापूर्ण शोषण से बचाव के लिए सक्रिय सुरक्षा उपायों को शामिल करते हुए बहुआयामी दृष्टिकोण की आवश्यकता है।