मडीवॉटर फॉल्स फ्लैग रैंसमवेयर हमला
ईरान द्वारा प्रायोजित साइबर हमले का गिरोह मड्डीवॉटर, जिसे मैंगो सैंडस्टॉर्म, सीडवर्म और स्टैटिक किटन जैसे उपनामों से भी पहचाना जाता है, एक परिष्कृत रैंसमवेयर अभियान से जुड़ा हुआ है, जिसे जांचकर्ताओं ने एक भ्रामक ऑपरेशन बताया है। हालांकि शुरुआत में यह घुसपैठ चाओस रैंसमवेयर ब्रांड का उपयोग करने वाले एक सामान्य रैंसमवेयर-एज़-ए-सर्विस (आरएएएस) ऑपरेशन से मिलती-जुलती लग रही थी, लेकिन गहन विश्लेषण से पता चला कि यह वित्तीय रूप से प्रेरित फिरौती के रूप में छिपा हुआ एक लक्षित सरकारी साइबर हमले के लक्षण थे।
2026 की शुरुआत में पहचाने गए इस ऑपरेशन में माइक्रोसॉफ्ट टीम्स के माध्यम से सोशल इंजीनियरिंग का भरपूर इस्तेमाल किया गया था। हमलावरों ने पीड़ितों के साथ बेहद इंटरैक्टिव सेशन आयोजित किए, और स्क्रीन शेयरिंग सुविधा का लाभ उठाकर क्रेडेंशियल्स हासिल किए और मल्टी-फैक्टर ऑथेंटिकेशन प्रक्रियाओं में हेरफेर किया। एक्सेस प्राप्त करने के बाद, हमलावरों ने बड़े पैमाने पर फ़ाइल एन्क्रिप्शन जैसी पारंपरिक रैंसमवेयर रणनीतियों को छोड़ दिया और इसके बजाय डेटा चोरी, गुप्त रूप से घुसपैठ और रिमोट मैनेजमेंट यूटिलिटीज के माध्यम से दीर्घकालिक नेटवर्क एक्सेस पर ध्यान केंद्रित किया।
विषयसूची
सरकारी गतिविधियों को छुपाने के लिए साइबर अपराध की तकनीकों का इस्तेमाल किया जाता है।
शोधकर्ताओं का मानना है कि यह अभियान मडीवॉटर द्वारा साइबर अपराध के तंत्र से जुड़े उपकरणों और तकनीकों को अपनाकर अपनी पहचान छिपाने का एक जानबूझकर किया गया प्रयास है। समूह ने अपने संचालन में व्यावसायिक रूप से उपलब्ध भूमिगत मैलवेयर और रिमोट एक्सेस फ्रेमवर्क को तेजी से एकीकृत किया है, जिसमें कैसलरैट और त्सुंडेरे जैसे उपकरण शामिल हैं।
यह रणनीति पहले के मडीवॉटर अभियानों से मेल खाती है, जिनमें जासूसी और विनाशकारी गतिविधियों को रैंसमवेयर जैसी गतिविधियों के साथ मिलाया गया था। 2020 में, इस समूह ने पॉवगूप लोडर का उपयोग करके थानोस रैंसमवेयर के एक विनाशकारी संस्करण को तैनात करके प्रमुख इजरायली संगठनों को निशाना बनाया। 2023 में, माइक्रोसॉफ्ट ने रैंसमवेयर की आड़ में किए गए हमलों के दौरान इस समूह को डार्कबिट नाम से जुड़े DEV-1084 नामक एक हमलावर से जोड़ा। 2025 के अंत तक, ईरान से जुड़े ऑपरेटरों पर एक इजरायली सरकारी अस्पताल के खिलाफ किलिन रैंसमवेयर का उपयोग करने का भी संदेह था।
सुरक्षा शोधकर्ताओं ने निष्कर्ष निकाला कि नवीनतम अभियान में संभवतः ईरान से संबद्ध ऑपरेटर शामिल थे, जो स्थापित साइबर आपराधिक ढाँचों के माध्यम से व्यापक भू-राजनीतिक उद्देश्यों को पूरा कर रहे थे। Qilin का उपयोग और रैंसमवेयर सहयोगी पारिस्थितिकी तंत्र में भागीदारी ने संभवतः परिचालन आवरण, विश्वसनीय अस्वीकार्यता और परिपक्व आक्रमण क्षमताओं तक पहुँच प्रदान की, साथ ही हमलावरों को इज़राइली सुरक्षा निगरानी से बचने में मदद की।
अराजकता RaaS: एक बढ़ता हुआ जबरन वसूली तंत्र
कैओस नाम का गिरोह 2025 की शुरुआत में रैंसमवेयर-एज़-ए-सर्विस (आरएएनपी) ऑपरेशन के रूप में उभरा, जो आक्रामक दोहरी फिरौती की रणनीति के लिए जाना जाता था। इस समूह ने आरएएमपी और रिहबकॉम जैसे भूमिगत साइबर अपराध मंचों पर अपने संबद्ध कार्यक्रम का प्रचार किया और तेजी से अपने परिचालन क्षेत्र का विस्तार किया।
अराजकता फैलाने वाले अभियानों में आमतौर पर ईमेल फ्लडिंग, वॉइस फ़िशिंग और माइक्रोसॉफ्ट टीम्स प्रतिरूपण हमले शामिल होते हैं, जिनमें हमलावर आईटी सहायता कर्मचारियों के रूप में खुद को पेश करते हैं। पीड़ितों को माइक्रोसॉफ्ट क्विक असिस्ट जैसे रिमोट एक्सेस एप्लिकेशन इंस्टॉल करने के लिए बरगलाया जाता है, जिससे हमलावर कॉर्पोरेट वातावरण में पैठ बना लेते हैं और फिर विशेषाधिकार बढ़ाकर, नेटवर्क में आगे बढ़ते हुए रैंसमवेयर पेलोड तैनात करते हैं।
इस समूह ने जबरन वसूली के और भी आक्रामक तरीके प्रदर्शित किए हैं:
- डेटा चोरी और फिरौती की मांग के माध्यम से दोहरी उगाही
- डिस्ट्रिब्यूटेड डिनायल-ऑफ-सर्विस (डीडीओएस) हमलों की धमकियों से जुड़ा तिहरा जबरन वसूली का मामला
- चौगुनी जबरन वसूली की रणनीति जिसमें पीड़ितों पर दबाव बढ़ाने के लिए ग्राहकों, भागीदारों या प्रतिस्पर्धियों से संपर्क करने की धमकी शामिल है।
मार्च 2026 तक, Chaos ने अपने लीक प्लेटफॉर्म के ज़रिए 36 संगठनों को अपना शिकार बनाया था, जिनमें से अधिकांश संगठन संयुक्त राज्य अमेरिका में स्थित थे। निर्माण, विनिर्माण और व्यावसायिक सेवा क्षेत्र सबसे अधिक लक्षित उद्योगों में शामिल थे।
घुसपैठ की संरचना
जांच के दौरान, हमलावरों ने कर्मचारियों का विश्वास जीतने और स्क्रीन शेयरिंग सत्रों को प्रोत्साहित करने के लिए बाहरी माइक्रोसॉफ्ट टीम्स पर बातचीत शुरू की। इसके बाद, हैक किए गए उपयोगकर्ता खातों का उपयोग जासूसी, निरंतर निगरानी, पार्श्व स्थानांतरण और डेटा की चोरी के लिए किया गया।
पीड़ित सिस्टम से कनेक्ट होने के दौरान, हमलावरों ने जासूसी कमांड चलाईं, वीपीएन से संबंधित फाइलों तक पहुंच बनाई और उपयोगकर्ताओं को स्थानीय रूप से बनाए गए टेक्स्ट दस्तावेज़ों में मैन्युअल रूप से क्रेडेंशियल दर्ज करने का निर्देश दिया। कई मामलों में, रिमोट एक्सेस क्षमताओं को मजबूत करने के लिए एनीडेस्क इंस्टॉल किया गया था।
हमलावरों ने कर्ल यूटिलिटी का उपयोग करके रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) के माध्यम से 172.86.126.208 बाहरी सर्वर पते से "ms_upd.exe" नामक एक्जीक्यूटेबल फ़ाइल प्राप्त की। लॉन्च होने के बाद, मैलवेयर ने कई चरणों वाली संक्रमण श्रृंखला शुरू कर दी, जिसका उद्देश्य अतिरिक्त दुर्भावनापूर्ण घटकों को तैनात करना और लगातार कमांड-एंड-कंट्रोल संचार स्थापित करना था।
इस अभियान के पीछे मैलवेयर का जखीरा है।
संक्रमण की श्रृंखला में कई अलग-अलग मैलवेयर घटक शामिल थे जो निरंतरता बनाए रखने और दूरस्थ आदेशों को निष्पादित करने के लिए एक साथ काम करते थे:
- 'ms_upd.exe' (Stagecomp) ने सिस्टम की जानकारी एकत्र की और 'game.exe', 'WebView2Loader.dll' और 'visualwincomp.txt' सहित सेकेंडरी पेलोड डाउनलोड करने के लिए एक कमांड-एंड-कंट्रोल सर्वर से संपर्क किया।
- 'game.exe' (डार्ककंप) एक कस्टम रिमोट एक्सेस ट्रोजन के रूप में काम करता था, जो आधिकारिक WebView2APISample प्रोजेक्ट पर आधारित एक वैध Microsoft WebView2 एप्लिकेशन होने का दिखावा करता था।
- 'WebView2Loader.dll' माइक्रोसॉफ्ट एज वेबव्यू2 की कार्यक्षमता के लिए आवश्यक एक वैध निर्भरता के रूप में कार्य करता था।
- 'visualwincomp.txt' में एन्क्रिप्टेड कॉन्फ़िगरेशन डेटा था जिसका उपयोग RAT द्वारा कमांड-एंड-कंट्रोल इन्फ्रास्ट्रक्चर की पहचान करने के लिए किया जाता था।
एक बार सक्रिय होने के बाद, रिमोट एक्सेस ट्रोजन हर 60 सेकंड में अपने कमांड सर्वर के साथ लगातार संचार करता था, जिससे ऑपरेटरों को पॉवरशेल स्क्रिप्ट निष्पादित करने, सिस्टम कमांड चलाने, फाइलों में हेरफेर करने और इंटरैक्टिव कमांड-लाइन सत्र शुरू करने की अनुमति मिलती थी।
इस ऑपरेशन को मड्डीवाटर से जोड़ने वाले साक्ष्य
'डोनाल्ड गे' से जुड़े एक कोड-हस्ताक्षर प्रमाणपत्र की खोज से मडीवॉटर को इसके लिए जिम्मेदार ठहराने की पुष्टि और भी पुख्ता हो गई, जिसका उपयोग 'ms_upd.exe' मैलवेयर सैंपल पर हस्ताक्षर करने के लिए किया गया था। यही प्रमाणपत्र पहले भी मडीवॉटर मैलवेयर से जुड़ा हुआ पाया गया था, जिसमें फेकसेट नामक कैसललोडर डाउनलोडर का एक प्रकार भी शामिल था।
शोधकर्ताओं ने पाया कि इस ऑपरेशन से राज्य प्रायोजित जासूसी गतिविधियों और साइबर अपराधियों के परिचालन तरीकों के बीच महत्वपूर्ण समानता प्रदर्शित हुई। रैंसमवेयर ब्रांडिंग, जबरन वसूली की बातचीत और व्यावसायिक रूप से उपलब्ध मैलवेयर फ्रेमवर्क के एकीकरण ने पहचान के प्रयासों को जटिल बना दिया और रक्षा का ध्यान दूरस्थ पहुंच उपकरणों के माध्यम से स्थापित दीर्घकालिक तंत्रों के बजाय तत्काल फिरौती प्रतिक्रिया गतिविधियों की ओर मोड़ दिया।
यह हमला क्यों असाधारण था?
इस अभियान का सबसे असामान्य पहलू यह था कि Chaos रैंसमवेयर के तत्वों का उपयोग किए जाने के बावजूद व्यापक रूप से फ़ाइल एन्क्रिप्शन का अभाव था। रैंसमवेयर के सामान्य व्यवहार से यह विचलन स्पष्ट रूप से इंगित करता है कि रैंसमवेयर घटक ने प्राथमिक मिशन उद्देश्य के बजाय मुख्य रूप से छलावरण या परिचालन भटकाव के रूप में कार्य किया।
इस अभियान से ईरानी खतरे पैदा करने वाले तत्वों के बीच साइबर अपराध के उपकरणों को सरकारी अभियानों में शामिल करने की बढ़ती प्रवृत्ति पर भी प्रकाश डाला गया है। मौजूदा भूमिगत ढाँचों और मैलवेयर प्रणालियों का लाभ उठाकर, मड्डीवॉटर जैसे समूह परिचालन में अधिक लचीलापन हासिल करते हैं, आंतरिक विकास लागत को कम करते हैं, और बचावकर्ताओं और खुफिया विश्लेषकों दोनों के लिए अपराधियों का पता लगाना बेहद मुश्किल बना देते हैं।
