BARADAI Ransomware

நவீன ரான்சம்வேர் செயல்பாடுகள் தொடர்ந்து நுட்பத்தில் வளர்ந்து வருவதால், முன்னெச்சரிக்கையான இணையப் பாதுகாப்பு நடைமுறைகள் முன்னெப்போதையும் விட முக்கியமானதாகின்றன. நிறுவனங்களும் தனிப்பட்ட பயனர்களும், முக்கியமான தரவுகளைக் குறியாக்கம் செய்யவும், செயல்பாடுகளைச் சீர்குலைக்கவும், பாதிக்கப்பட்டவர்களிடமிருந்து நிதி ரீதியாகப் பணம் பறிக்கவும் முயலும் தீங்கிழைக்கும் சக்திகளிடமிருந்து தொடர்ச்சியான அபாயங்களை எதிர்கொள்கின்றனர். இதற்கு ஒரு குறிப்பாக அபாயகரமான உதாரணம், பிரபல மெடுசாலாக்கர் ரான்சம்வேர் குடும்பத்துடன் தொடர்புடைய ஒரு தீம்பொருள் வகையான பராடாய் ரான்சம்வேர் ஆகும். இந்த அச்சுறுத்தல், மேம்பட்ட குறியாக்கத்தை தரவுத் திருட்டு உத்திகளுடன் இணைத்து, பாதிக்கப்பட்ட நிறுவனங்களுக்குக் கடுமையான செயல்பாட்டு, நிதி மற்றும் நற்பெயர் சார்ந்த விளைவுகளை ஏற்படுத்துகிறது.

பராடாய் ரேன்சம்வேர் நடவடிக்கையின் உள்ளே

பராடாய் என்பது கணினி அமைப்புகளுக்குள் ஊடுருவி, மதிப்புமிக்க கோப்புகளை மறைகுறியாக்கம் செய்து, பாதிக்கப்பட்டவர்களைப் பணம் செலுத்துமாறு கட்டாயப்படுத்தும் வகையில் வடிவமைக்கப்பட்டுள்ளது. பாதிக்கப்பட்ட கணினியில் இது செயல்படுத்தப்பட்டவுடன், இந்த ரான்சம்வேர் கோப்புகளை மறைகுறியாக்கம் செய்யத் தொடங்கி, பாதிக்கப்பட்ட கோப்புகளின் பெயர்களுடன் '.BARADAI' என்ற நீட்டிப்பைச் சேர்க்கிறது. உதாரணமாக, 'document.pdf' என்ற கோப்பு 'document.pdf.BARADAI' என மாறிவிடுகிறது. இதனால், சரியான மறைகுறியாக்கத் திறவுகோல் இல்லாத பயனர்களால் அக்கோப்பை அணுக முடியாமல் போகிறது.

குறியாக்கச் செயல்முறை முடிந்த பிறகு, அந்த மால்வேர் 'read_to_decrypt_files.html' என்ற பெயரில் ஒரு HTML மிரட்டல் குறிப்பை உருவாக்குகிறது. அந்தச் செய்தி, பாதிக்கப்பட்டவர்களின் நிறுவன வலையமைப்பு RSA-4096 மற்றும் AES-256 குறியாக்க நெறிமுறைகளைப் பயன்படுத்தி 'ஊடுருவப்பட்டு குறியாக்கம் செய்யப்பட்டுள்ளது' என்று தெரிவிக்கிறது. இந்தக் குறியாக்கத் தரநிலைகள் மிகவும் பாதுகாப்பானவையாகக் கருதப்படுகின்றன, மேலும் வலுக்கட்டாய முறைகள் மூலம் இவற்றை உடைப்பது நடைமுறையில் சாத்தியமற்றது.

மூன்றாம் தரப்பு மீட்பு மென்பொருளைப் பயன்படுத்துவதையோ அல்லது மறைகுறியாக்கப்பட்ட கோப்புகளை மாற்றுவதையோ தவிர்க்குமாறு அந்த மிரட்டல் குறிப்பு பாதிக்கப்பட்டவர்களை எச்சரிக்கிறது, ஏனெனில் அத்தகைய செயல்கள் தரவை நிரந்தரமாகச் சேதப்படுத்தக்கூடும் என்று அது கூறுகிறது. இந்த எச்சரிக்கைகள் முதன்மையாகப் பாதிக்கப்பட்டவர்களை அச்சுறுத்தும் நோக்கம் கொண்டவை என்றாலும், சில ரான்சம்வேர் சம்பவங்களில் முறையற்ற மீட்பு முயற்சிகள், மீட்டெடுப்பு முயற்சிகளைச் சிக்கலாக்கக்கூடும்.

இரட்டை மிரட்டல் தந்திரங்கள் அழுத்தத்தை அதிகரிக்கின்றன

பல நவீன ரான்சம்வேர் குழுக்கள் பயன்படுத்தும், பெருகிவரும் 'இரட்டை மிரட்டல்' உத்தியை பராடாய் பின்பற்றுகிறது. கோப்புகளை மறைகுறியாக்கம் செய்வதைத் தாண்டி, ரான்சம்வேர் பேலோடைப் பரப்புவதற்கு முன்பு, ஊடுருவப்பட்ட நெட்வொர்க்குகளிலிருந்து முக்கியமான தகவல்களைத் திருடுவதாகத் தாக்குதல் நடத்துபவர்கள் கூறுகின்றனர். மிரட்டல் குறிப்பின்படி, திருடப்பட்ட தரவுகளில் இரகசியமான வணிக ஆவணங்கள், நிதிப் பதிவுகள் மற்றும் தனிப்பட்ட தகவல்கள் ஆகியவை அடங்கியிருக்கலாம்.

பணம் செலுத்துமாறு விடுக்கப்படும் கோரிக்கைகள் புறக்கணிக்கப்பட்டால், ஊடகங்கள் அல்லது தரவுத் தரகர்கள் மூலம் இந்தத் தகவல்கள் பொதுவெளியில் அம்பலப்படுத்தப்படும் எனப் பாதிக்கப்பட்டவர்கள் அச்சுறுத்தப்படுகிறார்கள். இந்த உத்தி, நிறுவனங்கள் மீதான அழுத்தத்தை, குறிப்பாக முக்கியமான வாடிக்கையாளர் தகவல்கள், ஒழுங்குபடுத்தப்பட்ட தரவுகள் அல்லது தனியுரிமை அறிவுசார் சொத்துக்களைக் கையாளும் நிறுவனங்கள் மீதான அழுத்தத்தை, கணிசமாக அதிகரிக்கிறது.

தங்கள் நம்பகத்தன்மையை வலுப்படுத்த, தாக்குதல் நடத்தியவர்கள் பல அத்தியாவசியமற்ற கோப்புகளை இலவசமாக மறைகுறியாக்கம் செய்து தருவதாக உறுதியளிக்கின்றனர். மீட்கும் தொகை செலுத்தப்பட்டால், மறைகுறியாக்கம் தொழில்நுட்ப ரீதியாக சாத்தியம் என்பதை நிரூபிப்பதற்காகவே இந்த செயல்விளக்கம் அளிக்கப்படுகிறது. அந்தக் குறிப்பில் வழங்கப்பட்டுள்ள தகவல் தொடர்பு வழிகளில் மின்னஞ்சல் முகவரிகள், Tor-அடிப்படையிலான போர்ட்டல்கள் மற்றும் ஒரு qTox செய்தியிடல் ஐடி ஆகியவை அடங்கும். பாதிக்கப்பட்டவர்கள் 'பாதுகாப்பான' தகவல்தொடர்புக்காக ProtonMail-ஐப் பயன்படுத்துமாறு கூடுதலாக ஊக்குவிக்கப்படுகிறார்கள். அதே நேரத்தில், குறிப்பிட்ட காலத்திற்குப் பிறகு மீட்கும் தொகைக் கோரிக்கைகள் அதிகரிக்கும் என்று எச்சரிப்பதன் மூலம், 72 மணி நேரக் கெடு ஒரு அவசர உணர்வை உருவாக்க முயற்சிக்கிறது.

பராடாய் ஏன் குறிப்பாக ஆபத்தானது

பாரடை ஒரு குறிப்பிடத்தக்க அச்சுறுத்தலாக விளங்குகிறது, ஏனெனில் அது மெடுசாலாக்கர் ரேன்சம்வேர் குடும்பத்தைச் சேர்ந்தது. இந்தக் குழு, சாதாரண வீட்டுப் பயனர்களைக் குறிவைப்பதை விட, வணிகங்கள் மற்றும் பெருநிறுவனச் சூழல்களைக் குறிவைப்பதில் பெயர் பெற்றது. தாக்குதல் நடத்துபவர்கள் ஒரு பெருநிறுவன வலையமைப்பிற்குள் ஆழமான அணுகலைப் பெற்ற பிறகு, இந்தச் செயல்பாடுகள் பெரும்பாலும் கவனமாகத் திட்டமிடப்பட்டு செயல்படுத்தப்படுகின்றன.

இந்த ரான்சம்வேர் பொதுவாக ஊடுருவப்பட்ட ரிமோட் டெஸ்க்டாப் புரோட்டோகால் (RDP) சேவைகள் மூலம் பரவுகிறது. தாக்குதல் நடத்துபவர்கள், பலவீனமான அல்லது மீண்டும் பயன்படுத்தப்பட்ட சான்றுகளால் பாதுகாக்கப்படும், இணையத்துடன் இணைக்கப்பட்ட RDP முனைகளைத் தேடி, பின்னர் அங்கீகரிக்கப்படாத அணுகலைப் பெற ப்ரூட்-ஃபோர்ஸ் தாக்குதல்களைப் பயன்படுத்துகின்றனர். உள்ளே நுழைந்தவுடன், அவர்கள் நெட்வொர்க்கில் பக்கவாட்டாக நகர்ந்து, கூடுதல் கணினிகளை ஊடுருவி, பாதுகாப்புகளை முடக்கி, ஒரே நேரத்தில் பல கணினிகளில் ரான்சம்வேரைப் பரப்புகின்றனர்.

ஃபிஷிங் தாக்குதல்களும் தொற்று பரவுவதற்கான ஒரு முக்கிய வழியாகத் தொடர்கின்றன. ஊழியர்கள், விலைப்பட்டியல்கள், அறிக்கைகள் அல்லது வணிகத் தகவல்தொடர்புகள் போல மாறுவேடமிட்டிருக்கும் தீங்கிழைக்கும் இணைப்புகளைத் தங்களுக்குத் தெரியாமலேயே திறந்துவிடக்கூடும். இந்தக் கோப்புகளில் பெரும்பாலும் தீங்கிழைக்கும் மேக்ரோக்கள், உட்பொதிக்கப்பட்ட ஸ்கிரிப்டுகள் அல்லது தீம்பொருள் பதிவிறக்கங்களுக்கு வழிவகுக்கும் இணைப்புகள் அடங்கியிருக்கும். அடிப்படை மின்னஞ்சல் வடிகட்டுதல் பாதுகாப்புகளைத் தவிர்ப்பதற்காக, ZIP அல்லது RAR கோப்புகள் போன்ற சுருக்கப்பட்ட காப்பகங்கள் அடிக்கடி பயன்படுத்தப்படுகின்றன.

கூடுதல் தொற்று முறைகளில் ட்ரோஜன் மால்வேர், திருட்டு மென்பொருள், சட்டவிரோத செயல்படுத்தும் கருவிகள், போலி மென்பொருள் புதுப்பிப்புகள் மற்றும் நம்பகமற்ற பதிவிறக்கத் தளங்கள் ஆகியவை அடங்கும். சரியாகப் பிரிக்கப்படாத வலையமைப்புகளில், பாதிக்கப்பட்ட ஒரே ஒரு முனையம் கூட, நிறுவனம் முழுவதும் விரைவாகப் பரவலான பாதுகாப்பு மீறலுக்கு வழிவகுக்கக்கூடும்.

குறியாக்கம் மற்றும் மீட்பு சவால்கள்

தாக்குபவரின் ஒத்துழைப்பு இல்லாமல், BARADAI-ஆல் குறியாக்கம் செய்யப்பட்ட கோப்புகளை மீட்டெடுப்பது பொதுவாக நடைமுறைக்குச் சாத்தியமற்றது. இந்த ரான்சம்வேர், தாக்குபவர்களின் கட்டுப்பாட்டில் உள்ள தனிப்பட்ட மறைகுறியாக்கத் திறவுகோலுக்கான அணுகல் இல்லாமல் கடந்து செல்ல முடியாத வலிமையான மறைகுறியாக்க வழிமுறைகளைப் பயன்படுத்துகிறது. தீம்பொருளுக்குள்ளேயே ஒரு தீவிரமான செயலாக்கக் குறைபாடு இருந்தாலன்றி, இலவச மறைகுறியாக்க நீக்க விருப்பங்கள் கிடைப்பதற்கு வாய்ப்பில்லை.

சைபர் பாதுகாப்பு வல்லுநர்கள், மீட்புத்தொகையைச் செலுத்துவதை வன்மையாகத் தவிர்க்குமாறு அறிவுறுத்துகின்றனர். பணம் பெறப்பட்ட பிறகும் கூட, அச்சுறுத்தல் செய்பவர்கள் செயல்படும் மறைகுறியாக்க நீக்கக் கருவிகளை வழங்குவதில் அடிக்கடி தோல்வியடைகின்றனர். சில சமயங்களில், மிரட்டிப் பணம் பறிக்கும் கோரிக்கைகளுக்கு இணங்கத் தயாராக இருக்கும் நிறுவனங்களாகத் தாக்குபவர்கள் பாதிக்கப்பட்டவர்களை அடையாளம் கண்டுகொள்வதால், அவர்கள் மீண்டும் மீண்டும் இலக்காகின்றனர்.

கூடுதல் குறியாக்கச் செயல்பாடுகளைத் தடுக்க, பாதிக்கப்பட்ட கணினிகளிலிருந்து ரான்சம்வேரை அகற்றுவது அவசியமானாலும், தீம்பொருளை மட்டும் அகற்றுவது ஏற்கனவே பூட்டப்பட்ட கோப்புகளை மீட்டெடுக்காது. ஆஃப்லைனில் சேமிக்கப்பட்ட அல்லது பிரதான வலையமைப்பிலிருந்து தனிமைப்படுத்தப்பட்ட, முறையாகப் பாதுகாக்கப்பட்ட தொலைநிலை உள்கட்டமைப்பிற்குள் உள்ள தூய்மையான காப்புப்பிரதிகளைப் பயன்படுத்துவதே மிகவும் நம்பகமான மீட்பு உத்தியாக உள்ளது.

பராடாய் மற்றும் அதுபோன்ற அச்சுறுத்தல்களுக்கு எதிரான பாதுகாப்புகளை வலுப்படுத்துதல்

அடுக்கு பாதுகாப்பு கட்டுப்பாடுகளை செயல்படுத்துவதன் மூலமும், ஒழுக்கமான இணையப் பாதுகாப்பு நடைமுறைகளைப் பின்பற்றுவதன் மூலமும், நிறுவனங்கள் ரான்சம்வேர் தாக்குதல்களால் ஏற்படும் பாதிப்பை கணிசமாகக் குறைக்க முடியும். திறம்பட்ட பாதுகாப்பிற்கு தொழில்நுட்பப் பாதுகாப்பு அம்சங்களும், பணியாளர் விழிப்புணர்வும் அவசியமாகும்.

முக்கிய பாதுகாப்பு நடவடிக்கைகள் பின்வருமாறு:

• குறிப்பாக RDP மற்றும் பிற தொலைநிலை அணுகல் சேவைகளுக்கு, வலுவான கடவுச்சொல் கொள்கைகளையும் பல காரணி அங்கீகாரத்தையும் அமல்படுத்துதல்.
• முடிந்தவரை வெளிப்படும் RDP அணுகலைக் கட்டுப்படுத்துதல் அல்லது முடக்குதல்.
• உற்பத்தி அமைப்புகளிலிருந்து தனிமைப்படுத்தப்பட்ட, வழக்கமான ஆஃப்லைன் மற்றும் கிளவுட் அடிப்படையிலான காப்புப்பிரதிகளைப் பராமரித்தல்.
• இயக்க முறைமைகள், பயன்பாடுகள் மற்றும் பிணைய சாதனங்களுக்குப் பாதுகாப்புப் பிழைத்திருத்தங்களை உடனடியாகப் பயன்படுத்துதல்.
• சந்தேகத்திற்கிடமான நடத்தையைக் கண்டறியும் திறன் கொண்ட, நம்பகமான எண்ட்பாயிண்ட் பாதுகாப்பு மற்றும் நெட்வொர்க் கண்காணிப்புத் தீர்வுகளைப் பயன்படுத்துதல்.
• ஒரு சமரசத்தின் போது பக்கவாட்டு நகர்வைக் கட்டுப்படுத்த வலையமைப்புகளைப் பிரித்தல்.
• ஃபிஷிங் மின்னஞ்சல்கள், தீங்கிழைக்கும் இணைப்புகள் மற்றும் சமூகப் பொறியியல் தந்திரங்களை அடையாளம் காண ஊழியர்களுக்குப் பயிற்சி அளித்தல்.

இந்த நடவடிக்கைகளுக்கு அப்பால், நிறுவனங்கள் ஒரு செயலூக்கமான சம்பவத் துலங்கல் உத்தியைக் கடைப்பிடிக்க வேண்டும். தொடர்ச்சியான கண்காணிப்பு, அச்சுறுத்தல்களைக் கண்டறிதல், பாதிப்பு மதிப்பீடுகள் மற்றும் ஊடுருவல் சோதனை ஆகியவை, தாக்குபவர்கள் பலவீனங்களைப் பயன்படுத்திக் கொள்வதற்கு முன்பே அவற்றைக் கண்டறிய உதவும். ஒரு சம்பவத் துலங்கல் திட்டத்தை உருவாக்கி ஒத்திகை பார்ப்பது, ஒரு ரான்சம்வேர் தாக்குதலின் போது பாதுகாப்புக் குழுக்கள் மிகவும் திறம்பட செயல்படவும், செயல்பாட்டு இடையூறு மற்றும் தரவு இழப்பைக் குறைக்கவும் உதவுகிறது.

வளர்ந்து வரும் அச்சுறுத்தல் நிலப்பரப்பு

ரான்சம்வேர் செயல்பாடுகள் எவ்வாறு ஒழுங்கமைக்கப்பட்ட மற்றும் மிகவும் சீர்குலைக்கும் இணையக் குற்ற நிறுவனங்களாக உருமாறியுள்ளன என்பதை பராடாய் விளக்குகிறது. வலுவான குறியாக்கம், தரவுத் திருட்டு, உளவியல் அழுத்தம் மற்றும் பலவிதமான தொற்று வழிகளை ஒன்றிணைப்பதன் மூலம், தாக்குபவர்கள் நிதி ஆதாயத்திற்கான வாய்ப்பை அதிகப்படுத்துவதோடு, பாதிக்கப்பட்டவர்களுக்குக் கடுமையான சேதத்தையும் விளைவிக்கின்றனர்.

ரான்சம்வேர் குழுக்கள் தங்கள் தந்திரங்களைத் தொடர்ந்து செம்மைப்படுத்தி வருவதால், அனைத்து அளவிலான நிறுவனங்களுக்கும் வலுவான இணையப் பாதுகாப்பு நடைமுறைகளைப் பேணுவது அத்தியாவசியமாகிறது. தடுப்புப் பாதுகாப்பு நடவடிக்கைகள், பணியாளர் கல்வி, நம்பகமான காப்புப் பிரதிகள் மற்றும் சம்பவங்களுக்கு விரைவாகப் பதிலளிக்கும் திறன்கள் ஆகியவை BARADAI மற்றும் பரந்த MedusaLocker ரான்சம்வேர் சூழல் அமைப்பு போன்ற அச்சுறுத்தல்களுக்கு எதிரான மிக வலிமையான பாதுகாப்புகளாகத் திகழ்கின்றன.