VietNamNet نے VNDirect Securities Company پر سائبر حملے اور Ransomware کے خطرات کو سمجھنے کے لیے سائبر سیکیورٹی کے ماہر اور بلاک چین اور AI انسٹی ٹیوٹ کے ڈپٹی ڈائریکٹر مسٹر Dao Trung Thanh کا ایک مضمون متعارف کرایا ہے۔
Ransomware، مالویئر کی ایک قسم جو شکار کے سسٹم پر ڈیٹا کو انکرپٹ کرتا ہے اور اسے ڈکرپٹ کرنے کے لیے تاوان کا مطالبہ کرتا ہے، آج دنیا میں سائبر سیکیورٹی کے سب سے خطرناک خطرات میں سے ایک بن گیا ہے۔ تصویر: zephyr_p/Fotolia

VNDirect کیس اور کیا چیز Ransomware کو خطرناک بناتی ہے؟

24 مارچ 2024 کو، ویتنام میں VNDirect Securities Company بین الاقوامی رینسم ویئر حملوں کے نقشے پر تازہ ترین ہاٹ سپاٹ بن گئی۔ یہ حملہ کوئی الگ تھلگ کیس نہیں ہے۔

Ransomware، ایک قسم کا بدنیتی پر مبنی سافٹ ویئر جو کسی شکار کے سسٹم پر ڈیٹا کو انکرپٹ کرنے اور اسے ڈکرپٹ کرنے کے لیے تاوان کا مطالبہ کرنے کے لیے ڈیزائن کیا گیا ہے، آج دنیا میں سب سے زیادہ وسیع اور خطرناک سائبر سیکیورٹی خطرات میں سے ایک بن گیا ہے۔ سماجی زندگی کے تمام شعبوں میں ڈیجیٹل ڈیٹا اور انفارمیشن ٹیکنالوجی پر بڑھتا ہوا انحصار تنظیموں اور افراد کو ان حملوں کا شکار بناتا ہے۔

رینسم ویئر کا خطرہ نہ صرف ڈیٹا کو انکرپٹ کرنے کی صلاحیت میں ہے، بلکہ اس کے پھیلاؤ اور تاوان کا مطالبہ کرنے کے طریقے میں بھی ہے، جس سے ایک مالیاتی لین دین کا چینل بنتا ہے جس کے ذریعے ہیکرز غیر قانونی منافع کما سکتے ہیں۔ رینسم ویئر کے حملوں کی نفاست اور غیر متوقع صلاحیت انہیں آج سائبر سیکیورٹی کو درپیش سب سے بڑے چیلنجوں میں سے ایک بناتی ہے۔

VNDirect حملہ ransomware کو سمجھنے اور روکنے کی اہمیت کی واضح یاد دہانی ہے۔ صرف یہ سمجھ کر کہ رینسم ویئر کس طرح کام کرتا ہے اور اس سے لاحق خطرہ ہم صارفین کو تعلیم دینے ، تکنیکی حل استعمال کرنے سے لے کر اہم ڈیٹا اور انفارمیشن سسٹم کی حفاظت کے لیے ایک جامع روک تھام کی حکمت عملی بنانے تک مؤثر حفاظتی اقدامات کر سکتے ہیں۔

رینسم ویئر کیسے کام کرتا ہے۔

رینسم ویئر، سائبر سیکیورٹی کی دنیا میں ایک خوفناک خطرہ، ایک نفیس اور کثیر جہتی طریقے سے کام کرتا ہے، جس کے متاثرین کے لیے سنگین نتائج برآمد ہوتے ہیں۔ ransomware کے کام کرنے کے طریقے کو بہتر طور پر سمجھنے کے لیے، ہمیں حملے کے عمل کے ہر مرحلے پر غور کرنے کی ضرورت ہے۔

انفیکشن

حملہ اس وقت شروع ہوتا ہے جب رینسم ویئر سسٹم کو متاثر کرتا ہے۔ رینسم ویئر کے شکار کے سسٹم میں داخل ہونے کے کئی عام طریقے ہیں، بشمول:

فشنگ ای میلز: نقصان دہ اٹیچمنٹ کے ساتھ جعلی ای میلز یا بدنیتی پر مبنی کوڈ والی ویب سائٹس کے لنکس؛ حفاظتی کمزوریوں کا فائدہ اٹھانا: بغیر پیچ والے سافٹ ویئر کی کمزوریوں کا فائدہ اٹھاتے ہوئے صارف کے تعامل کے بغیر رینسم ویئر کو خود بخود انسٹال کرنا؛ میلورٹائزنگ: میلویئر تقسیم کرنے کے لیے انٹرنیٹ اشتہارات کا استعمال؛ نقصان دہ ویب سائٹس سے ڈاؤن لوڈز: صارفین غیر بھروسہ مند ویب سائٹس سے سافٹ ویئر یا مواد ڈاؤن لوڈ کرتے ہیں۔

خفیہ کاری

ایک بار متاثر ہونے کے بعد، رینسم ویئر متاثرہ کے سسٹم پر ڈیٹا کو خفیہ کرنے کا عمل شروع کر دیتا ہے۔ خفیہ کاری ڈیٹا کو ایک فارمیٹ میں تبدیل کرنے کا عمل ہے جسے ڈکرپشن کلید کے بغیر پڑھا نہیں جا سکتا۔ Ransomware اکثر مضبوط انکرپشن الگورتھم استعمال کرتا ہے، اس بات کو یقینی بناتے ہوئے کہ خفیہ کردہ ڈیٹا کو مخصوص کلید کے بغیر بازیافت نہیں کیا جا سکتا۔

تاوان کا مطالبہ

ڈیٹا کو انکرپٹ کرنے کے بعد، رینسم ویئر متاثرہ کی سکرین پر ایک پیغام دکھاتا ہے، جس میں ڈیٹا کو ڈکرپٹ کرنے کے لیے تاوان کا مطالبہ کیا جاتا ہے۔ اس پیغام میں عام طور پر ادائیگی کرنے کے بارے میں ہدایات ہوتی ہیں (عام طور پر Bitcoin یا دیگر cryptocurrencies کے ذریعے مجرم کی شناخت چھپانے کے لیے) نیز ادائیگی کی آخری تاریخ۔ رینسم ویئر کے کچھ ورژن تاوان کی ادائیگی نہ کرنے پر ڈیٹا کو حذف کرنے یا شائع کرنے کی دھمکی بھی دیتے ہیں۔

لین دین اور ڈکرپشن (یا نہیں)

اس کے بعد متاثرہ کو ایک مشکل فیصلے کا سامنا کرنا پڑتا ہے: تاوان ادا کریں اور اپنے ڈیٹا کو واپس حاصل کرنے کی امید رکھیں، یا انکار کر دیں اور اسے ہمیشہ کے لیے کھو دیں۔ تاہم، ادائیگی اس بات کی ضمانت نہیں دیتی کہ ڈیٹا کو ڈکرپٹ کیا جائے گا۔ درحقیقت، یہ مجرموں کو اپنی کارروائیاں جاری رکھنے کی ترغیب دے سکتا ہے۔

ransomware کے چلانے کا طریقہ نہ صرف تکنیکی نفاست کو ظاہر کرتا ہے، بلکہ ایک افسوسناک حقیقت بھی ہے: صارفین کی غلط فہمی اور لاعلمی سے فائدہ اٹھانے کی آمادگی۔ یہ سائبرسیکیوریٹی بیداری اور علم کو بڑھانے کی اہمیت کو واضح کرتا ہے، فشنگ ای میلز کو پہچاننے سے لے کر تازہ ترین سیکیورٹی سافٹ ویئر کو برقرار رکھنے تک۔ ransomware جیسے ابھرتے ہوئے خطرے کے ساتھ، تعلیم اور روک تھام پہلے سے کہیں زیادہ اہم ہیں۔

Ransomware کے عام متغیرات

رینسم ویئر کے خطرات کی ہمیشہ سے ابھرتی ہوئی دنیا میں، کچھ مختلف قسمیں اپنی نفاست، پھیلنے کی صلاحیت اور دنیا بھر کی تنظیموں پر ان کے سنگین اثرات کے لیے نمایاں ہیں۔ یہاں سات مشہور قسموں کی تفصیل اور وہ کیسے کام کرتے ہیں۔

ریول (جسے سوڈینوکیبی بھی کہا جاتا ہے)

خصوصیات: REvil Ransomware-as-a-Service (RaaS) کی ایک قسم ہے، جو سائبر جرائم پیشہ افراد کو اپنے حملے کرنے کے لیے اسے "کرائے" پر لینے کی اجازت دیتی ہے۔ اس سے رینسم ویئر کے پھیلنے کی صلاحیت اور متاثرین کی تعداد میں نمایاں اضافہ ہوتا ہے۔

تبلیغ کے طریقے: حفاظتی خطرات، فشنگ ای میلز، اور ریموٹ اٹیک ٹولز کے ذریعے تقسیم۔ REvil خود بخود ڈیٹا کو خفیہ کرنے یا چوری کرنے کے لیے حملے کے طریقے بھی استعمال کرتا ہے۔

ریوک

خصوصیات: Ryuk بنیادی طور پر بڑی تنظیموں کو زیادہ سے زیادہ تاوان کی ادائیگیوں کو نشانہ بناتا ہے۔ یہ ہر حملے کے لیے خود کو اپنی مرضی کے مطابق کرنے کی صلاحیت رکھتا ہے، جس سے اس کا پتہ لگانا اور ہٹانا مشکل ہو جاتا ہے۔

پروپیگیشن کا طریقہ: دیگر میلویئر سے متاثر فشنگ ای میلز اور نیٹ ورکس کے ذریعے، جیسے Trickbot اور Emotet، Ryuk نیٹ ورک ڈیٹا کو پھیلاتا اور انکرپٹ کرتا ہے۔

رابن ہڈ

خصوصیات: رابن ہڈ فائلوں کو لاک کرنے اور بڑے تاوان کا مطالبہ کرنے کے لیے ایک جدید ترین خفیہ کاری حربہ استعمال کرتے ہوئے، حکومتی نظاموں اور بڑی تنظیموں پر حملہ کرنے کی صلاحیت کے لیے جانا جاتا ہے۔

تبلیغ کا طریقہ: فشنگ مہمات کے ساتھ ساتھ سافٹ ویئر میں حفاظتی کمزوریوں کا استحصال کرتے ہوئے پھیلائیں۔

ڈوپل پیمر

خصوصیات: DoppelPaymer ایک اسٹینڈ رینسم ویئر ویرینٹ ہے جس میں ڈیٹا کو انکرپٹ کرکے سنگین نقصان پہنچانے کی صلاحیت ہے اور تاوان ادا نہ کرنے پر معلومات جاری کرنے کی دھمکی دی جاتی ہے۔

تبلیغ کا طریقہ: ریموٹ اٹیک ٹولز اور فشنگ ای میلز کے ذریعے پروپیگنڈہ کیا جاتا ہے، خاص طور پر بغیر پیچ والے سافٹ ویئر میں کمزوریوں کو نشانہ بنانا۔

سانپ (ایکانز کے نام سے بھی جانا جاتا ہے)

خصوصیات: SNAKE کو صنعتی کنٹرول سسٹم (ICS) پر حملہ کرنے کے لیے ڈیزائن کیا گیا ہے۔ یہ نہ صرف ڈیٹا کو خفیہ کرتا ہے بلکہ صنعتی عمل میں بھی خلل ڈال سکتا ہے۔

تبلیغ کا طریقہ: مخصوص صنعتی نظاموں کو نشانہ بنانے پر زور دینے کے ساتھ، فشنگ اور استحصالی مہمات کے ذریعے۔

فوبوس

خصوصیات: فوبوس دھرما کے ساتھ بہت سی مماثلتیں شیئر کرتا ہے، ایک اور رینسم ویئر ویرینٹ، اور اسے اکثر RDP (ریموٹ ڈیسک ٹاپ پروٹوکول) کے ذریعے چھوٹے کاروباروں پر حملہ کرنے کے لیے استعمال کیا جاتا ہے۔

تبلیغ کا طریقہ: بنیادی طور پر بے نقاب یا کمزور RDP کے ذریعے، حملہ آوروں کو رینسم ویئر کو دور سے رسائی اور تعینات کرنے کی اجازت دیتا ہے۔

لاک بٹ

LockBit ایک اور مقبول ransomware مختلف قسم ہے جو Ransomware-as-a-Service (RaaS) ماڈل کے تحت کام کرتا ہے اور کاروباری اداروں اور سرکاری تنظیموں پر حملوں کے لیے جانا جاتا ہے۔ لاک بٹ اپنے حملوں کو تین اہم مراحل میں انجام دیتا ہے: کمزوریوں کا فائدہ اٹھانا، سسٹم میں گہرائی تک گھسنا، اور انکرپشن پے لوڈ کو تعینات کرنا۔

فیز 1 - استحصال: لاک بٹ سوشل انجینئرنگ جیسی تکنیکوں کا استعمال کرتے ہوئے نیٹ ورک میں کمزوریوں کا استحصال کرتا ہے، جیسے کہ فشنگ ای میلز کے ذریعے، یا انٹرانیٹ سرورز اور نیٹ ورک سسٹمز پر زبردست حملے۔

فیز 2 - دراندازی: دراندازی کے بعد، لاک بٹ اپنی رسائی کی سطح کو بڑھانے اور نظام کو خفیہ کاری کے حملے کے لیے تیار کرنے کے لیے "پوسٹ ایکسپلوٹیشن" ٹول استعمال کرتا ہے۔

مرحلہ 3 - تعیناتی: لاک بٹ انکرپٹڈ پے لوڈ کو نیٹ ورک میں ہر قابل رسائی ڈیوائس پر تعینات کرتا ہے، تمام سسٹم فائلوں کو انکرپٹ کرتا ہے اور تاوان کا نوٹ چھوڑتا ہے۔

لاک بٹ اپنے دخل اندازی کے عمل میں نیٹ ورک سکینرز سے لے کر ریموٹ مینجمنٹ سوفٹ ویئر تک، نیٹ ورک کی جاسوسی، ریموٹ رسائی، اسناد کی چوری، اور ڈیٹا کو نکالنے کے لیے متعدد مفت اور اوپن سورس ٹولز کا بھی استعمال کرتا ہے۔ کچھ معاملات میں، LockBit یہ دھمکی بھی دیتا ہے کہ اگر تاوان کے مطالبات پورے نہ کیے گئے تو وہ متاثرہ کا ذاتی ڈیٹا جاری کر دے گا۔

اپنی پیچیدگی اور وسیع پیمانے پر پھیلنے کی صلاحیت کے ساتھ، لاک بٹ جدید رینسم ویئر کی دنیا میں سب سے بڑے خطرے کی نمائندگی کرتا ہے۔ تنظیموں کو اس رینسم ویئر اور اس کے مختلف قسموں سے خود کو بچانے کے لیے حفاظتی اقدامات کا ایک جامع سیٹ اپنانے کی ضرورت ہے۔

ڈاؤ ٹرنگ تھانہ

سبق 2: VNDirect حملے سے لے کر اینٹی رینسم ویئر حکمت عملی تک