ब्लैककैट के काले कारनामे पर नकेल नहीं
अमेरिका ब्लैककैट रैंसमवेयर गिरोह के बारे में बताने वाले को देगा 83 करोड़ रुपये इनाम की घोषणा कर चुका है. अमेरिका के विदेश विभाग की घोषणा के मुताबिकि ALPHV/ब्लैककैट रैंसमवेयर गिरोह के सदस्यों की पहचान या स्थान का पता लगाने वाली जानकारी देने वाले को 1 करोड़ डॉलर (लगभग 83 करोड़ रुपये) तक इनाम दिया जाएगा. फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन (FBI) के अनुसार, इस कुख्यात रैंसमवेयर गिरोह ने सितंबर, 2023 तक 1,000 से अधिक पीड़ितों से फिरौती मांगकर में कम से कम 30 करोड़ डॉलर (लगभग 2,490 करोड़ रुपये) जुटाए हैं.
दो महीने पहले दिसंबर 2023 के अंतिम सप्ताह में एफबीआई ने ब्लैककैट रैंसमवेयर समूह को बाधित कर दिया था. कितु उसने फिर फन निकाल लिया है. वह नए—नए हमले के कर रहा है.
उल्लेखनीय है कि क्रिसमस से छह दिन पहले अमेरिकी न्याय विभाग ने जोर-शोर से रैंसमवेयर के संकट के खिलाफ चल रही लड़ाई में जीत की घोषणा की थी. एफबीआई के नेतृत्व वाले एक अंतरराष्ट्रीय ऑपरेशन ने ब्लैककैट या अल्फ़वी के नाम से जाने जाने वाले कुख्यात हैकिंग समूह को निशाना बनाया था. उसकी फिरौती को विफल करने के लिए डिक्रिप्शन कुंजी जारी की थी। सैकड़ों पीड़ितों के खिलाफ प्रयास किए गए और उन डार्क वेब साइटों को जब्त कर लिया गया, जिनका उपयोग इसने उन्हें धमकाने और जबरन वसूली करने के लिए किया था.
डिप्टी अटॉर्नी जनरल लिसा मोनाको ने एक बयान में घोषणा की थी कि ब्लैककैट रैंसमवेयर समूह को बाधित करके न्याय विभाग ने एक बार फिर हैकर्स को हैक कर लिया है.
हालाँकि, दो महीने और एक सप्ताह बाद वे हैकर्स विशेष रूप से बाधित नहीं दिखे. फरवरी 2024 के अंतिम सप्ताह में सात दिनों के दौरान ब्लैककैट ने मेडिकल फर्म चेंज हेल्थकेयर को लगातार बंधक बनाए रखा, जिससे संयुक्त राज्य भर के अस्पतालों और फार्मेसियों में इसके सॉफ्टवेयर को नुकसान पहुंचा. नतीजा अनगिनत रोगियों के लिए दवा के नुस्खे में देरी हुई.
इस बारे में साइबर सुरक्षा फर्म रिकॉर्डेड फ़्यूचर के रैंसमवेयर-केंद्रित शोधकर्ता एलन लिस्का का कहना था कि हम रूस में या उन क्षेत्रों में जो कानून प्रवर्तन के साथ असहयोगी हैं, मुख्य ऑपरेटरों को गिरफ्तार नहीं कर सकते हैं, हम उन्हें रोक नहीं सकते हैं. इसके साथ ही लिस्का का कहना है कि हमलावरों पर हाथ डाले बिना कानून प्रवर्तन को अक्सर बुनियादी ढांचे या सहायता पीड़ितों को लक्षित करने वाले निष्कासन की व्यवस्था करने में महीनों या वर्षों का समय लग जाता है.
ब्लैककैट ने फरवरी में अपनी डार्क वेब साइट पर 28 पीड़ितों को सूची बनाई, जो कि एफबीआई के निष्कासन से पहले दिसंबर में अपनी साइट पर गिने गए 60 से अधिक रिकॉर्डेड लिस्ट की तुलना में काफी कम थी. रैंसमवेयर-ट्रैकिंग साइट ब्रीचेस.नेट के अनुसार, चेंज हेल्थकेयर को मौजूदा ब्लैककैट के पीड़ितों में सूचीबद्ध नहीं किया गया है, हालांकि हैकर्स ने कथित तौर पर हमले का श्रेय लिया है.
ब्लैककैट रैंसमवेयर का उदय और साइबर अपराध की एक काली कहानी कुछ कम रोचक नहीं है. इसकी उत्पत्ति नवंबर 2021 में तब हुई थी, जब पूरी दुनिया में कोरोना दौर का संकट था. लोग घरों में कैद थे और अधिकतर कामाकाज औनलाइन किया जा रहा था.
उपनाम: ALPHV-ng, Noberus, ALPHV, AlphaV, AlphaVM
लक्षित क्षेत्र: वित्त, कानूनी, प्रौद्योगिकी, ऊर्जा, स्वास्थ्य सेवा, विनिर्माण
लक्षित क्षेत्र: उत्तरी अमेरिका, ओशिनिया, पूर्वी यूरोप, पश्चिमी यूरोप
प्रेरणा: वित्तीय लाभ/मौद्रिक लाभ
सामान्य संक्रमण वाहक: एक्सेस क्रेडेंशियल
ब्लैककैट (उर्फ अल्फावी, या एएलपीएचवी) रैंसमवेयर पहली बार नवंबर 2021 के मध्य में देखा गया था। रैंसमवेयर समूह ट्रिपल एक्सटॉर्शन जैसी अपनी परिष्कृत रणनीति के लिए तेजी से प्रमुखता से उभरा । अप्रैल 2022 की एक रिपोर्ट , पता चलने के लगभग पांच महीने बाद, पता चलता है कि ब्लैककैट ने लगभग 69 संगठनों से समझौता किया था, सितंबर 2022 तक यह बढ़कर लगभग 173 हो गया । इसके डेवलपर्स द्वारा साइबर अपराध मंचों पर इसे ALPHV के रूप में विपणन किया जाता है, हालांकि इसकी फिरौती भुगतान साइट पर काली बिल्ली की तस्वीर प्रदर्शित होने के कारण विशेषज्ञों द्वारा इसे ब्लैककैट कहा जाता है।
अपनी खोज के कुछ महीनों के बाद, समूह ने घोषणा की कि उसके सदस्य कुख्यात ब्लैकमैटर/ डार्कसाइड रैंसमवेयर ऑपरेशन से हैं, जो औपनिवेशिक पाइपलाइन पर हाई-प्रोफाइल छापे के लिए जिम्मेदार हैं। यह रस्ट प्रोग्रामिंग भाषा में स्क्रैच से निर्मित पहले प्रमुख रैंसमवेयर में से एक है और इस प्रकार विंडोज, लिनक्स सिस्टम (डेबियन, रेडीएनएएस, उबंटू, सिनोलॉजी) और वीएमवेयर ईएसएक्सआई सहित कई प्लेटफार्मों पर निष्पादन का समर्थन करता है।
रणनीति, तकनीक और प्रक्रियाएं
ब्लैककैट के संचालक चुराए गए एक्सेस क्रेडेंशियल्स का लाभ उठाकर किसी संगठन के नेटवर्क से समझौता करते हैं। एक सफल घुसपैठ के बाद, ब्लैककैट चुपचाप जानकारी एकत्र करता है, पूरे नेटवर्क को मैप करता है, और आगे की पहुंच के लिए खातों में हेरफेर करता है। एकत्र की गई जानकारी के आधार पर, हमलावर सुरक्षा प्रणालियों को अक्षम करने और बैकअप हटाने जैसी अतिरिक्त कार्रवाई करेंगे। अंत में, रैंसमवेयर को लक्षित सिस्टम पर क्रियान्वित किया जाता है और उनके पीड़ितों पर फिरौती के नोट छोड़े जाते हैं।
जनवरी 2023 में, सुरक्षा विशेषज्ञों को रैंसमवेयर ऑपरेटरों द्वारा पीड़ितों को ब्लैकमेल करने और फिरौती मांगने के लिए एक रचनात्मक दृष्टिकोण का पता चला। समूह ने पीड़ित की साइट की प्रतिकृति बनाई और फिरौती की मांग पूरी नहीं होने पर चुराए गए डेटा को उस पर पोस्ट कर दिया।
कमजोरियों का शोषण किया गया
ज्यादातर मामलों में, ब्लैककैट ऑपरेटरों को इन पांच कमजोरियों का फायदा उठाते हुए देखा गया है:
सीवीई-2016-0099 : विंडोज़ ओएस में सेकेंडरी लॉगऑन सेवा में एक दोष
CVE-2019-7481 : SonicWall SMA100 में एक बग संस्करण 9.0.0.3 और इससे पहले के संस्करण को प्रभावित कर रहा है
सीवीई-2021-31207 : माइक्रोसॉफ्ट एक्सचेंज सर्वर सुरक्षा सुविधा बायपास भेद्यता
सीवीई-2021-34473 : माइक्रोसॉफ्ट एक्सचेंज सर्वर रिमोट कोड निष्पादन भेद्यता
सीवीई-2021-34523 : माइक्रोसॉफ्ट एक्सचेंज सर्वर विशेषाधिकार भेद्यता का उन्नयन
उपकरणों का इस्तेमाल
ब्लैककैट संचालक साइबर किल श्रृंखला के विभिन्न चरणों में अपने हमलों का समर्थन करने के लिए कई उपकरणों का उपयोग करते हैं।
संक्रमित मशीन तक पहुंच बनाए रखने के लिए कनेक्टवाइज़ टूल।
पीड़ित के डोमेन खातों तक पहुंच प्राप्त करने के लिए AdFind, ADRecon और SoftPerfect।
क्रेडेंशियल एक्सेस और डंप के लिए हैकर और मिमिकैट्ज़ को प्रोसेस करें।
पार्श्व गति के लिए, यह PSExec, RDP और MobaXterm का उपयोग करता है।
एक्सफिल्ट्रेशन चरण में, यह 7zip, RClone, मेगासिंक और WinSCP का उपयोग करता है।