Mortar र्‍यान्समवेयर

मालवेयर अझै पनि संस्था र व्यक्तिहरूले सामना गर्ने सबैभन्दा महत्त्वपूर्ण साइबर सुरक्षा खतराहरू मध्ये एक हो। आधुनिक रैनसमवेयर आक्रमणहरूले केही घण्टा भित्रै व्यावसायिक सञ्चालनमा बाधा पुर्‍याउन सक्छ, गम्भीर वित्तीय नोक्सान निम्त्याउन सक्छ र संवेदनशील जानकारीलाई सम्झौता गर्न सक्छ। रैनसमवेयर समूहहरू बढ्दो रूपमा परिष्कृत हुँदै जाँदा, बहुमूल्य डेटाको सुरक्षा र सञ्चालन निरन्तरता सुनिश्चित गर्न बलियो सुरक्षा नियन्त्रणहरू र सक्रिय प्रतिरक्षाहरू कायम राख्नु आवश्यक छ।

मोर्टार र्‍यान्समवेयर एक नजरमा

मोर्टार र्‍यान्समवेयर साइबर सुरक्षा अनुसन्धानकर्ताहरूले पहिचान गरेको फाइल-इन्क्रिप्टिङ मालवेयर स्ट्रेन हो। यो खतरा मुख्यतया कर्पोरेट वातावरणलाई लक्षित गर्न डिजाइन गरिएको हो, जहाँ आक्रमणकारीहरूले सञ्चालन अवरोधलाई अधिकतम बनाउन र पीडितहरूलाई फिरौती तिर्न दबाब बढाउन खोज्छन्। एक पटक सम्झौता गरिएको नेटवर्क भित्र तैनाथ भएपछि, मोर्टारले फाइलहरू इन्क्रिप्ट गर्छ र 'README-[पीडितको ID].txt' ढाँचा पछ्याउँदै पीडितको अद्वितीय पहिचानकर्ता अनुसार नाम दिइएको फिरौती नोट छोड्छ।

यस ransomware को एक विशिष्ट विशेषता यसको फाइल-नामकरण व्यवहार हो। इन्क्रिप्शनको समयमा, मोर्टारले प्रत्येक प्रभावित फाइलमा एक अद्वितीय पीडित ID थप्छ। उदाहरणका लागि, मूल रूपमा '1.png' नाम दिइएको फाइल '1.png.4RcrXfvVksS5ACA' हुन सक्छ, जबकि '2.pdf' जस्तो कागजात '2.pdf.4RcrXfvVksS5ACA' मा रूपान्तरण गर्न सकिन्छ। त्यसपछि उही पहिचानकर्ता फिरौती नोट फाइलनाममा प्रयोग गरिन्छ, जसले पीडित र आक्रमण बीच प्रत्यक्ष सम्बन्ध सिर्जना गर्दछ।

गुप्तिकरण प्रक्रिया र फिरौती मागहरू

नेटवर्कमा घुसपैठ गरेपछि, मोर्टारले कागजातहरू, डाटाबेसहरू, तस्बिरहरू, र अन्य बहुमूल्य व्यावसायिक फाइलहरू सहित डेटाको विस्तृत दायरा इन्क्रिप्ट गर्दछ। फिरौती नोटमा दाबी गरिएको छ कि आक्रमणकारीहरूले पीडितको जानकारी लक गर्न AES-256 र RSA-2048 इन्क्रिप्शन एल्गोरिदमहरू प्रयोग गरेका थिए। त्यस्ता दाबीहरू ransomware अपरेटरहरूमाझ सामान्य भए पनि, समग्र लक्ष्य एउटै रहन्छ: सम्बन्धित डिक्रिप्शन कुञ्जी बिना डेटा पहुँचयोग्य बनाउनु।

फिरौती नोटले पीडितहरूलाई सूचित गर्दछ कि उनीहरूको फाइलहरू पुन: प्राप्ति गर्ने एक मात्र तरिका आक्रमणकारीहरूबाट डिक्रिप्शन उपकरण खरिद गर्नु हो। निश्चित फिरौती रकम निर्दिष्ट गर्नुको सट्टा, अपराधीहरूले पीडितहरूलाई टोर-आधारित पोर्टलमा निर्देशित गर्छन् र प्रयोगकर्ता नाम र पासवर्ड समावेश गर्ने लगइन प्रमाणहरू प्रदान गर्छन्। यो दृष्टिकोणले आक्रमणकारीहरूलाई व्यक्तिगत रूपमा भुक्तानीहरू वार्ता गर्न र पीडित संस्थाको कथित मूल्यको आधारमा फिरौती मागहरू सम्भावित रूपमा समायोजन गर्न अनुमति दिन्छ।

के इन्क्रिप्टेड फाइलहरू पुन: प्राप्त गर्न सकिन्छ?

आक्रमणकारीहरूको डिक्रिप्शन संयन्त्रमा पहुँच बिना ransomware द्वारा इन्क्रिप्ट गरिएका फाइलहरू पुन: प्राप्ति गर्नु प्रायः अत्यन्तै गाह्रो हुन्छ। दुर्लभ परिस्थितिहरूमा, साइबर सुरक्षा अनुसन्धानकर्ताहरूले कार्यान्वयन त्रुटिहरू वा क्रिप्टोग्राफिक कमजोरीहरू पत्ता लगाउँछन् जसले नि:शुल्क डिक्रिप्टरहरू सिर्जना गर्न सक्षम बनाउँछ। यद्यपि, त्यस्ता घटनाहरू असामान्य हुन्छन्, र राम्रोसँग डिजाइन गरिएको ransomware बाट प्रभावित पीडितहरूले प्रायः सीमित रिकभरी विकल्पहरूको सामना गर्छन्।

फिरौती तिर्नुलाई सामान्यतया उच्च जोखिमपूर्ण निर्णय मानिन्छ। साइबर अपराधीहरूले भुक्तानी प्राप्त गरेपछि काम गर्ने डिक्रिप्शन उपकरण प्रदान गर्न कुनै दायित्व हुँदैन। धेरै पीडितहरूले यस्तो परिस्थितिको अनुभव गरेका छन् जहाँ रकम स्थानान्तरण गरिएको थियो, तर रिकभरी उपकरणहरू कहिल्यै डेलिभर गरिएनन्, वा प्रदान गरिएका उपकरणहरूले डेटा सफलतापूर्वक पुनर्स्थापित गर्न असफल भए। फलस्वरूप, भुक्तानीले फाइल रिकभरीको ग्यारेन्टी बिना थप आर्थिक नोक्सान निम्त्याउन सक्छ।

संक्रमण भेक्टर र आक्रमण प्रविधिहरू

मोर्टारले सामान्यतया ransomware अभियानहरूमा प्रयोग हुने धेरै आक्रमण विधिहरू मार्फत पीडितहरूसम्म पुग्न सक्छ। फिसिङ सबैभन्दा प्रचलित संक्रमण भेक्टरहरू मध्ये एक हो। आक्रमणकारीहरूले कम्प्रेस गरिएको अभिलेख, कार्यान्वयनयोग्य फाइलहरू, वा हानिकारक म्याक्रोहरू सहितको माइक्रोसफ्ट अफिस कागजातहरू जस्ता दुर्भावनापूर्ण संलग्नकहरू भएका इमेलहरू वितरण गर्छन्। एक पटक खोलिएपछि, यी फाइलहरूले ransomware तैनाती प्रक्रिया सुरु गर्न सक्छन्।

थप संक्रमण मार्गहरूमा ट्रोजनाइज्ड सफ्टवेयर, नक्कली अपडेट संयन्त्र, दुर्भावनापूर्ण विज्ञापन अभियानहरू, अविश्वसनीय डाउनलोड पोर्टलहरू, र अनौपचारिक च्यानलहरू मार्फत वितरित पाइरेटेड अनुप्रयोगहरू समावेश छन्। यी विधिहरूले प्रणालीहरूमा पहुँच प्राप्त गर्न प्रयोगकर्ताको विश्वास र अपर्याप्त सुरक्षा नियन्त्रणहरूको शोषण गर्छन्।

लक्षित कर्पोरेट घुसपैठमा, धम्की दिने व्यक्तिहरूले थप उन्नत प्रविधिहरू अपनाउन सक्छन्। आक्रमणकारीहरूले कमजोर प्रमाणहरू विरुद्ध क्रूर-बल आक्रमणहरू मार्फत रिमोट डेस्कटप प्रोटोकल (RDP) सेवाहरू सम्झौता गर्ने प्रयास गर्छन्। तिनीहरूले नेटवर्कमा पार्श्व रूपमा सर्नु र एकै साथ धेरै उपकरणहरूमा ransomware तैनाथ गर्नु अघि प्रारम्भिक पाइला राख्न इन्टरनेट-फेसिङ प्रणालीहरूमा अनप्याच गरिएको कमजोरीहरूको पनि शोषण गर्न सक्छन्।

मोर्टार संक्रमणको प्रतिक्रिया

एक पटक मोर्टार पत्ता लागेपछि, तुरुन्तै नियन्त्रण महत्त्वपूर्ण छ। प्रभावित प्रणालीहरूबाट ransomware हटाउनाले थप इन्क्रिप्शन गतिविधि रोक्न मद्दत गर्दछ र वातावरणमा थप क्षतिको जोखिम कम गर्दछ। यद्यपि, मालवेयर हटाउनुलाई डेटा रिकभरीसँग भ्रमित गर्नु हुँदैन। मालिसियस प्रोग्राम हटाउनाले स्वचालित रूपमा इन्क्रिप्टेड फाइलहरू पुनर्स्थापित गर्दैन।

सबैभन्दा भरपर्दो रिकभरी विधि भनेको आक्रमण हुनुभन्दा पहिले सिर्जना गरिएका सफा ब्याकअपहरूको पुनर्स्थापना हो। घटनाको समयमा ब्याकअप रिपोजिटरीहरू इन्क्रिप्ट गर्नबाट र्‍यान्समवेयरलाई रोक्नको लागि ब्याकअपहरूलाई उत्पादन प्रणालीहरूबाट अलग भण्डारण गर्नुपर्छ। सुरक्षित, पृथक ब्याकअपहरू कायम राख्ने संस्थाहरू सामान्यतया साइबर अपराधीहरूसँग संलग्न नभई र्‍यान्समवेयर आक्रमणहरूबाट पुन: प्राप्ति गर्न धेरै बलियो स्थितिमा हुन्छन्।

र्‍यान्समवेयर विरुद्ध बलियो प्रतिरक्षा निर्माण गर्दै

प्रभावकारी ransomware सुरक्षाको लागि प्रविधि, प्रयोगकर्ता जागरूकता, र सक्रिय मर्मतसम्भारलाई संयोजन गर्ने तहगत सुरक्षा रणनीति आवश्यक पर्दछ। आक्रमणकारीहरूले सामान्यतया शोषण गर्ने कमजोरीहरूलाई हटाउन संस्थाहरूले नियमित रूपमा अपरेटिङ सिस्टम, अनुप्रयोगहरू र नेटवर्क उपकरणहरू अद्यावधिक गर्नुपर्छ। बलियो प्रमाणीकरण नीतिहरू, विशेष गरी रिमोट पहुँच सेवाहरूको लागि, अनधिकृत प्रवेशको जोखिमलाई उल्लेखनीय रूपमा कम गर्न सक्छ।

बलियो ब्याकअप रणनीतिको विकास पनि उत्तिकै महत्त्वपूर्ण छ। महत्वपूर्ण डेटा धेरै स्थानहरूमा प्रतिलिपि गरिनुपर्छ, जसमा अफलाइन वा डिस्कनेक्ट गरिएको भण्डारण समावेश छ जुन सम्झौता गरिएका प्रणालीहरूबाट पुग्न सकिँदैन। नियमित ब्याकअप परीक्षणले आपतकालीन समयमा पुनर्स्थापना प्रक्रियाहरू सही रूपमा काम गर्छन् भनी सुनिश्चित गर्दछ।

प्रमुख सुरक्षा अभ्यासहरूमा समावेश छन्:

• छुट्टाछुट्टै र सुरक्षित स्थानहरूमा भण्डारण गरिएका बारम्बार ब्याकअपहरू कायम राख्ने।
• सुरक्षा अपडेट र प्याचहरू उपलब्ध हुने बित्तिकै लागू गर्ने।
• बलियो, अद्वितीय पासवर्डहरू प्रयोग गर्ने र बहु-कारक प्रमाणीकरण सक्षम पार्ने।
• अनावश्यक रिमोट एक्सेस सेवाहरू प्रतिबन्धित गर्ने र लगइन प्रयासहरूको निगरानी गर्ने।
• फिसिङ इमेल र शंकास्पद संलग्नकहरू पहिचान गर्न कर्मचारीहरूलाई तालिम दिने।
• प्रतिष्ठित एन्डपोइन्ट सुरक्षा र नेटवर्क अनुगमन समाधानहरू तैनाथ गर्दै।

संस्थाहरूले पनि न्यूनतम विशेषाधिकारको सिद्धान्त अपनाउनु पर्छ, प्रयोगकर्ताहरूलाई उनीहरूको भूमिकाको लागि आवश्यक पहुँच मात्र प्रदान गर्नु पर्छ। निरन्तर अनुगमन, सुरक्षा लेखा परीक्षण, र घटना प्रतिक्रिया योजनाले मोर्टार जस्ता ransomware अभियानहरू विरुद्ध लचिलोपनलाई अझ बलियो बनाउँछ। निवारक नियन्त्रणहरू, द्रुत पत्ता लगाउने क्षमताहरू, र भरपर्दो ब्याकअप प्रणालीहरूको संयोजन आधुनिक फाइल-इन्क्रिप्टिङ खतराहरू विरुद्ध सबैभन्दा प्रभावकारी रक्षा बनेको छ।

निष्कर्ष

मोर्टार र्‍यान्समवेयरले बहुमूल्य डेटा इन्क्रिप्ट गर्ने, सञ्चालनमा बाधा पुर्‍याउने र पीडितहरूलाई डिक्रिप्शनको लागि भुक्तानी गर्न दबाब दिने क्षमताको कारणले कर्पोरेट नेटवर्कहरूको लागि गम्भीर खतराको प्रतिनिधित्व गर्दछ। इन्क्रिप्टेड फाइलहरूमा अद्वितीय पहिचानकर्ताहरू थपेर र पीडितहरूलाई समर्पित फिरौती पोर्टलमा निर्देशित गरेर, आक्रमणकारीहरूले संरचित र लक्षित दृष्टिकोण प्रदर्शन गर्छन्। इन्क्रिप्टेड फाइलहरू पुन: प्राप्ति गर्नु चुनौतीपूर्ण हुन सक्छ, बलियो साइबर सुरक्षा अभ्यासहरूलाई प्राथमिकता दिने, पृथक ब्याकअपहरू कायम राख्ने र सक्रिय रूपमा कमजोरीहरूलाई सम्बोधन गर्ने संस्थाहरूले र्‍यान्समवेयर घटनाहरूको प्रभावलाई उल्लेखनीय रूपमा कम गर्न र तिनीहरूको समग्र सुरक्षा स्थिति सुधार गर्न सक्छन्।