Mortar Ransomware

நிறுவனங்கள் மற்றும் தனிநபர்கள் இருவருக்கும் ஏற்படும் மிக முக்கியமான இணையப் பாதுகாப்பு அச்சுறுத்தல்களில் ஒன்றாக மால்வேர் தொடர்ந்து இருந்து வருகிறது. நவீன ரான்சம்வேர் தாக்குதல்கள், சில மணி நேரங்களிலேயே வணிகச் செயல்பாடுகளைச் சீர்குலைத்து, கடுமையான நிதி இழப்புகளை ஏற்படுத்தி, முக்கியமான தகவல்களைப் பாதிப்புக்குள்ளாக்கக்கூடும். ரான்சம்வேர் குழுக்கள் மேலும் மேலும் நுட்பமாகச் செயல்படுவதால், மதிப்புமிக்க தரவுகளைப் பாதுகாப்பதற்கும் செயல்பாட்டுத் தொடர்ச்சியை உறுதி செய்வதற்கும் வலுவான பாதுகாப்புக் கட்டுப்பாடுகளையும் முன்கூட்டிய தற்காப்பு நடவடிக்கைகளையும் பேணுவது அவசியமாகும்.

மோர்டார் ரேன்சம்வேர் ஒரு பார்வை

மோர்டார் ரேன்சம்வேர் என்பது இணையப் பாதுகாப்பு ஆராய்ச்சியாளர்களால் அடையாளம் காணப்பட்ட, கோப்புகளை மறைகுறியாக்கும் ஒரு தீம்பொருள் வகையாகும். இந்த அச்சுறுத்தல் முதன்மையாக பெருநிறுவனச் சூழல்களைக் குறிவைக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது. அங்கு தாக்குபவர்கள், செயல்பாட்டு இடையூறுகளை அதிகப்படுத்தவும், பாதிக்கப்பட்டவர்கள் பணயத்தொகை செலுத்த அழுத்தம் கொடுக்கவும் முயல்கின்றனர். ஊடுருவப்பட்ட ஒரு நெட்வொர்க்கில் இது நிலைநிறுத்தப்பட்டவுடன், மோர்டார் கோப்புகளை மறைகுறியாக்கி, பாதிக்கப்பட்டவரின் தனித்துவமான அடையாளங்காட்டியின்படி பெயரிடப்பட்ட ஒரு பணயக் குறிப்பை விட்டுச்செல்கிறது. அதன் வடிவம் 'README-[பாதிக்கப்பட்டவரின் ஐடி].txt' என்பதாகும்.

இந்த ரான்சம்வேரின் ஒரு தனித்துவமான அம்சம், கோப்புகளைப் பெயர் மாற்றும் அதன் நடத்தையாகும். குறியாக்கத்தின் போது, மோர்டார் பாதிக்கப்பட்ட ஒவ்வொரு கோப்புடனும் ஒரு தனித்துவமான பாதிக்கப்பட்டவரின் அடையாள எண்ணைச் (ID) சேர்க்கிறது. உதாரணமாக, முதலில் '1.png' என்று பெயரிடப்பட்ட ஒரு கோப்பு '1.png.4RcrXfvVksS5ACA' என மாறக்கூடும், அதே சமயம் '2.pdf' போன்ற ஒரு ஆவணம் '2.pdf.4RcrXfvVksS5ACA' என மாற்றப்படலாம். பின்னர் அதே அடையாள எண், மிரட்டல் குறிப்பின் கோப்புப் பெயரிலும் பயன்படுத்தப்படுகிறது, இது பாதிக்கப்பட்டவருக்கும் தாக்குதலுக்கும் இடையே ஒரு நேரடித் தொடர்பை உருவாக்குகிறது.

குறியாக்கச் செயல்முறை மற்றும் மீட்புத்தொகைக் கோரிக்கைகள்

ஒரு நெட்வொர்க்கில் ஊடுருவிய பிறகு, மோர்டார் ஆவணங்கள், தரவுத்தளங்கள், புகைப்படங்கள் மற்றும் பிற மதிப்புமிக்க வணிகக் கோப்புகள் உட்பட பலதரப்பட்ட தரவுகளைக் குறியாக்கம் செய்கிறது. பாதிக்கப்பட்டவரின் தகவல்களைப் பூட்டுவதற்காக, தாக்குதல் நடத்தியவர்கள் AES-256 மற்றும் RSA-2048 குறியாக்க வழிமுறைகளைப் பயன்படுத்தியதாக அந்த மிரட்டல் குறிப்பு கூறுகிறது. இதுபோன்ற கூற்றுகள் ரான்சம்வேர் இயக்குபவர்களிடையே சாதாரணமாகக் காணப்பட்டாலும், அதன் ஒட்டுமொத்த நோக்கம் ஒன்றாகவே உள்ளது: அதற்கான மறைகுறியாக்கத் திறவுகோல் இல்லாமல் தரவுகளை அணுக முடியாதபடி செய்வது.

தங்கள் கோப்புகளை மீட்டெடுப்பதற்கான ஒரே வழி, தாக்குதல் நடத்தியவர்களிடமிருந்து மறைகுறியாக்க நீக்கக் கருவியை வாங்குவதுதான் என்று அந்த மிரட்டல் குறிப்பு பாதிக்கப்பட்டவர்களுக்குத் தெரிவிக்கிறது. ஒரு நிலையான மீட்புத்தொகையைக் குறிப்பிடுவதற்குப் பதிலாக, குற்றவாளிகள் பாதிக்கப்பட்டவர்களை Tor-அடிப்படையிலான ஒரு வலைதளத்திற்கு வழிநடத்தி, பயனர்பெயர் மற்றும் கடவுச்சொல் அடங்கிய உள்நுழைவு விவரங்களை வழங்குகிறார்கள். இந்த அணுகுமுறை, தாக்குதல் நடத்தியவர்கள் தனித்தனியாகப் பணம் செலுத்துவது குறித்துப் பேச்சுவார்த்தை நடத்தவும், பாதிக்கப்பட்ட நிறுவனத்தின் மதிப்பைப் பொறுத்து மீட்புத்தொகைக் கோரிக்கைகளை மாற்றியமைக்கவும் வழிவகுக்கிறது.

மறைகுறியாக்கம் செய்யப்பட்ட கோப்புகளை மீட்டெடுக்க முடியுமா?

தாக்குதல் நடத்துபவர்களின் மறைகுறியாக்க நீக்கப் பொறிமுறையை அணுக முடியாமல், ரான்சம்வேரால் மறைகுறியாக்கப்பட்ட கோப்புகளை மீட்டெடுப்பது பெரும்பாலும் மிகவும் கடினம். அரிதான சூழ்நிலைகளில், இணையப் பாதுகாப்பு ஆராய்ச்சியாளர்கள், இலவச மறைகுறியாக்க நீக்கிகளை உருவாக்க உதவும் செயலாக்கத் தவறுகளையோ அல்லது மறைகுறியாக்கப் பலவீனங்களையோ கண்டறிகின்றனர். இருப்பினும், இதுபோன்ற நிகழ்வுகள் அரிதானவை, மேலும் நன்கு வடிவமைக்கப்பட்ட ரான்சம்வேரால் பாதிக்கப்பட்டவர்கள் பெரும்பாலும் வரையறுக்கப்பட்ட மீட்பு வாய்ப்புகளையே எதிர்கொள்கின்றனர்.

மீட்புத்தொகையைச் செலுத்துவது பொதுவாக அதிக ஆபத்து நிறைந்த முடிவாகக் கருதப்படுகிறது. பணம் பெற்ற பிறகு, செயல்படும் மறைகுறியாக்க நீக்கக் கருவியை வழங்க வேண்டும் என்ற எந்தக் கடமையும் இணையக் குற்றவாளிகளுக்கு இல்லை. பல பாதிக்கப்பட்டவர்கள், நிதி பரிமாற்றம் செய்யப்பட்டும் மீட்புக் கருவிகள் வழங்கப்படாத அல்லது வழங்கப்பட்ட கருவிகள் தரவை வெற்றிகரமாக மீட்டெடுக்கத் தவறிய சூழ்நிலைகளை அனுபவித்துள்ளனர். இதன் விளைவாக, பணம் செலுத்துவது கோப்பு மீட்புக்கு உத்தரவாதம் அளிக்காமல் கூடுதல் நிதி இழப்பை ஏற்படுத்தக்கூடும்.

தொற்று பரப்பிகள் மற்றும் தாக்குதல் நுட்பங்கள்

ரேன்சம்வேர் தாக்குதல்களில் பொதுவாகப் பயன்படுத்தப்படும் பல தாக்குதல் முறைகள் மூலம் மோர்டார் பாதிக்கப்பட்டவர்களைச் சென்றடைய முடியும். ஃபிஷிங் என்பது மிகவும் பரவலான தொற்றுப் பரவல் வழிகளில் ஒன்றாகத் தொடர்கிறது. தாக்குபவர்கள், சுருக்கப்பட்ட காப்பகங்கள், இயக்கக்கூடிய கோப்புகள் அல்லது தீங்கு விளைவிக்கும் மேக்ரோக்கள் பதிக்கப்பட்ட மைக்ரோசாஃப்ட் ஆபிஸ் ஆவணங்கள் போன்ற தீங்கிழைக்கும் இணைப்புகளைக் கொண்ட மின்னஞ்சல்களை விநியோகிக்கின்றனர். இந்தக் கோப்புகள் திறக்கப்பட்டவுடன், அவை ரேன்சம்வேர் செயல்படுத்தும் செயல்முறையைத் தொடங்கக்கூடும்.

ட்ரோஜன்மயமாக்கப்பட்ட மென்பொருள், போலியான புதுப்பிப்பு வழிமுறைகள், தீங்கிழைக்கும் விளம்பரப் பிரச்சாரங்கள், நம்பகமற்ற பதிவிறக்கத் தளங்கள் மற்றும் அதிகாரப்பூர்வமற்ற வழிகள் மூலம் விநியோகிக்கப்படும் திருட்டுப் பயன்பாடுகள் ஆகியவை கூடுதல் தொற்று வழிகளாகும். இந்த முறைகள், பயனர்களின் நம்பிக்கையையும் போதுமானதாக இல்லாத பாதுகாப்புக் கட்டுப்பாடுகளையும் சாதகமாகப் பயன்படுத்தி, கணினி அமைப்புகளுக்குள் அணுகலைப் பெறுகின்றன.

பெருநிறுவனங்களைக் குறிவைத்து நிகழும் ஊடுருவல்களில், அச்சுறுத்தல் செய்பவர்கள் மிகவும் மேம்பட்ட நுட்பங்களைக் கையாளக்கூடும். தாக்குபவர்கள், பலவீனமான சான்றுகளுக்கு எதிரான முரட்டுத்தனமான தாக்குதல்கள் மூலம் ரிமோட் டெஸ்க்டாப் புரோட்டோகால் (RDP) சேவைகளைச் சீர்குலைக்க அடிக்கடி முயற்சிப்பார்கள். மேலும், நெட்வொர்க்கில் பக்கவாட்டாக நகர்ந்து, ஒரே நேரத்தில் பல சாதனங்களில் ரான்சம்வேரைப் பரப்புவதற்கு முன்பு, ஆரம்பகட்ட காலூன்றுவதற்காக, இணையத்துடன் இணைக்கப்பட்ட கணினிகளில் உள்ள சரிசெய்யப்படாத பாதிப்புகளையும் அவர்கள் பயன்படுத்திக்கொள்ளக்கூடும்.

மோர்டார் தொற்றுக்கு பதிலளித்தல்

மோர்டார் கண்டறியப்பட்டவுடன், உடனடித் தடுப்பு மிகவும் அவசியம். பாதிக்கப்பட்ட கணினிகளிலிருந்து ரான்சம்வேரை அகற்றுவது, மேலும் குறியாக்கச் செயல்பாடுகளைத் தடுக்கவும், சூழல் முழுவதும் கூடுதல் சேதம் ஏற்படும் அபாயத்தைக் குறைக்கவும் உதவுகிறது. இருப்பினும், தீம்பொருள் அகற்றுதலைத் தரவு மீட்புடன் குழப்பிக்கொள்ளக் கூடாது. தீங்கிழைக்கும் நிரலை நீக்குவது, குறியாக்கம் செய்யப்பட்ட கோப்புகளைத் தானாகவே மீட்டெடுக்காது.

தாக்குதல் நடப்பதற்கு முன்பு உருவாக்கப்பட்ட, பிழையற்ற காப்புப்பிரதிகளை மீட்டெடுப்பதே மிகவும் நம்பகமான மீட்பு முறையாகும். ஒரு சம்பவத்தின் போது ரான்சம்வேர் காப்புப்பிரதிக் களஞ்சியங்களைக் குறியாக்கம் செய்வதைத் தடுக்க, காப்புப்பிரதிகள் உற்பத்தி அமைப்புகளிலிருந்து தனியாகச் சேமிக்கப்பட வேண்டும். பாதுகாப்பான, தனிமைப்படுத்தப்பட்ட காப்புப்பிரதிகளைப் பராமரிக்கும் நிறுவனங்கள், இணையக் குற்றவாளிகளுடன் தொடர்பு கொள்ளாமல் ரான்சம்வேர் தாக்குதல்களிலிருந்து மீள்வதற்குப் பொதுவாக மிகவும் வலுவான நிலையில் உள்ளன.

ரேன்சம்வேருக்கு எதிராக வலுவான பாதுகாப்புகளை உருவாக்குதல்

திறம்பட்ட ரான்சம்வேர் பாதுகாப்பிற்கு, தொழில்நுட்பம், பயனர் விழிப்புணர்வு மற்றும் முன்கூட்டிய பராமரிப்பு ஆகியவற்றை ஒருங்கிணைக்கும் ஒரு அடுக்கு பாதுகாப்பு உத்தி தேவைப்படுகிறது. தாக்குதல் நடத்துபவர்கள் பொதுவாகப் பயன்படுத்திக்கொள்ளும் பாதிப்புகளை நீக்குவதற்காக, நிறுவனங்கள் தங்கள் இயக்க முறைமைகள், செயலிகள் மற்றும் பிணையச் சாதனங்களைத் தவறாமல் புதுப்பிக்க வேண்டும். வலுவான அங்கீகாரக் கொள்கைகள், குறிப்பாக தொலைநிலை அணுகல் சேவைகளுக்கானவை, அங்கீகரிக்கப்படாத நுழைவின் அபாயத்தைக் கணிசமாகக் குறைக்க முடியும்.

ஒரு வலுவான காப்புப் பிரதி உத்தியை உருவாக்குவதும் சம முக்கியத்துவம் வாய்ந்தது. முக்கியமான தரவுகள், பாதிப்புக்குள்ளான கணினிகளிலிருந்து அணுக முடியாத ஆஃப்லைன் அல்லது துண்டிக்கப்பட்ட சேமிப்பகம் உள்ளிட்ட பல இடங்களுக்கு நகலெடுக்கப்பட வேண்டும். வழக்கமான காப்புப் பிரதி சோதனையானது, அவசர காலங்களில் மீட்டெடுப்பு நடைமுறைகள் சரியாகச் செயல்படுவதை உறுதி செய்கிறது.

முக்கிய பாதுகாப்பு நடைமுறைகளில் பின்வருவன அடங்கும்:

• தனித்தனியான மற்றும் பாதுகாப்பான இடங்களில் சேமிக்கப்பட்ட காப்புப்பிரதிகளை அடிக்கடி பராமரித்தல்.
• பாதுகாப்புப் புதுப்பிப்புகள் மற்றும் திருத்தங்கள் கிடைத்தவுடன் அவற்றைச் செயல்படுத்துதல்.
• வலிமையான, தனித்துவமான கடவுச்சொற்களைப் பயன்படுத்துதல் மற்றும் பல காரணி அங்கீகாரத்தைச் செயல்படுத்துதல்.
• தேவையற்ற தொலைநிலை அணுகல் சேவைகளைக் கட்டுப்படுத்துதல் மற்றும் உள்நுழைவு முயற்சிகளைக் கண்காணித்தல்.
• ஃபிஷிங் மின்னஞ்சல்கள் மற்றும் சந்தேகத்திற்கிடமான இணைப்புகளை அடையாளம் காண ஊழியர்களுக்குப் பயிற்சி அளித்தல்.
• நம்பகமான எண்ட்பாயிண்ட் பாதுகாப்பு மற்றும் நெட்வொர்க் கண்காணிப்புத் தீர்வுகளைச் செயல்படுத்துதல்.

நிறுவனங்கள், பயனர்களுக்கு அவர்களின் பணிகளுக்குத் தேவையான அணுகலை மட்டும் வழங்கும் குறைந்தபட்ச சிறப்புரிமைக் கொள்கையையும் பின்பற்ற வேண்டும். தொடர்ச்சியான கண்காணிப்பு, பாதுகாப்புத் தணிக்கைகள் மற்றும் சம்பவங்களுக்குப் பதிலளிக்கும் திட்டமிடல் ஆகியவை மோர்டார் போன்ற ரான்சம்வேர் தாக்குதல்களுக்கு எதிரான மீள்திறனை மேலும் வலுப்படுத்துகின்றன. தடுப்புக் கட்டுப்பாடுகள், விரைவான கண்டறிதல் திறன்கள் மற்றும் நம்பகமான காப்பு அமைப்புகள் ஆகியவற்றின் கலவையே, நவீன கோப்பு மறைகுறியாக்க அச்சுறுத்தல்களுக்கு எதிரான மிகவும் பயனுள்ள பாதுகாப்பாக விளங்குகிறது.

முடிவு

மோர்டார் ரான்சம்வேர், மதிப்புமிக்க தரவுகளைக் குறியாக்கம் செய்யும், செயல்பாடுகளைச் சீர்குலைக்கும், மற்றும் குறியாக்க நீக்கத்திற்காகப் பணம் செலுத்துமாறு பாதிக்கப்பட்டவர்களை வற்புறுத்தும் திறன் கொண்டிருப்பதால், பெருநிறுவன வலையமைப்புகளுக்கு ஒரு கடுமையான அச்சுறுத்தலாக விளங்குகிறது. குறியாக்கம் செய்யப்பட்ட கோப்புகளில் தனித்துவமான அடையாளங்காட்டிகளைச் சேர்ப்பதன் மூலமும், பாதிக்கப்பட்டவர்களை ஒரு பிரத்யேக மீட்புப் பண இணையதளத்திற்கு வழிநடத்துவதன் மூலமும், தாக்குதல் நடத்துபவர்கள் ஒரு கட்டமைக்கப்பட்ட மற்றும் இலக்கு வைக்கப்பட்ட அணுகுமுறையை வெளிப்படுத்துகின்றனர். குறியாக்கம் செய்யப்பட்ட கோப்புகளை மீட்டெடுப்பது சவாலானதாக இருந்தாலும், வலுவான இணையப் பாதுகாப்பு நடைமுறைகளுக்கு முன்னுரிமை அளிக்கும், தனிமைப்படுத்தப்பட்ட காப்புப்பிரதிகளைப் பராமரிக்கும், மற்றும் பாதிப்புகளை முன்கூட்டியே சரிசெய்யும் நிறுவனங்கள், ரான்சம்வேர் சம்பவங்களின் தாக்கத்தைக் கணிசமாகக் குறைத்து, தங்களின் ஒட்டுமொத்தப் பாதுகாப்பு நிலையை மேம்படுத்திக்கொள்ள முடியும்.