मैंने एक शांत मंगलवार की शाम एक सूत्र द्वारा सुरक्षित सिग्नल चैनल के माध्यम से प्रदान किए गए लीक हुए बातचीत लॉग की समीक्षा करते हुए बिताई। एक सार्वजनिक अधिकारी को यह महसूस करते हुए देखने में एक विशिष्ट प्रकार का डर होता है कि उनका वार्षिक बजट एक विकेंद्रीकृत क्रिप्टो वॉलेट में गायब होने वाला है। रैनसम-ISAC के लिए राकेश कृष्णन द्वारा विश्लेषण किए गए लॉग, काइरोस (Kairos) नामक समूह और एक अमेरिकी सरकारी इकाई, जो यूनियन काउंटी, ओहियो प्रतीत होती है, के बीच एक महीने तक चली उच्च-दांव वाली सौदेबाजी का विवरण देते हैं। चुप्पी की अंतिम कीमत लगभग $1 मिलियन थी।
यह उल्लंघन घटनाओं की एक व्यवस्थित श्रृंखला का अनुसरण करता है जो एक साधारण विफलता के साथ शुरू हुई थी। हमलावर का दावा है कि उन्होंने पासवर्ड का अनुमान लगाकर नेटवर्क में प्रवेश किया। इसमें कोई ज़ीरो-डे एक्सप्लॉइट और कोई जटिल सोशल इंजीनियरिंग नहीं थी। एक बार अंदर जाने के बाद, घुसपैठिए ने पारंपरिक सुरक्षा को दरकिनार कर दिया क्योंकि वे चीजों को तोड़ने की कोशिश नहीं कर रहे थे। वे चीजें लेना चाहते थे। जोखिम के दृष्टिकोण से, यह घटना इस बात में बदलाव का संकेत देती है कि आधुनिक जबरन वसूली करने वाले कैसे काम करते हैं। उन्होंने महसूस किया है कि पूरे नेटवर्क को एन्क्रिप्ट करने के लिए आवश्यक प्रयास अक्सर अनावश्यक होते हैं। चोरी किया गया डेटा एक जहरीली संपत्ति है, और इसे जारी करने की धमकी वह सारा लाभ प्रदान करती है जिसकी एक अपराधी को आवश्यकता होती है।
लेन-देन 13 जून, 2025 को हुआ था। पीड़ित की ओर से काइरोस द्वारा नियंत्रित वॉलेट में 9.44 बिटकॉइन का भुगतान किया गया। उस समय, यह राशि लगभग $1 मिलियन के बराबर थी। जबकि काउंटी ने मई 2025 में रैनसमवेयर हमले को सार्वजनिक रूप से स्वीकार किया था, इस भारी भुगतान का विवरण तब तक छिपा रहा जब तक कि शोधकर्ताओं ने लीक हुई चैट और ब्लॉकचेन रिकॉर्ड से समयरेखा का पुनर्निर्माण नहीं किया। चैट में पीड़ित ने खुद को सीमित संसाधनों वाले एक छोटे काउंटी के रूप में वर्णित किया, एक ऐसा विवरण जो यूनियन काउंटी की प्रोफाइल से मेल खाता है, जो लगभग 70,000 निवासियों की सेवा करता है।
दांव पर लगा डेटा बहुत बड़ा था। काइरोस ने 1.6 मिलियन व्यक्तिगत फाइलों सहित 2 टेराबाइट से अधिक जानकारी रखने का दावा किया। इनमें स्थानीय अभियोजक के कार्यालय के दस्तावेज भी शामिल थे। हमलावर इस विशिष्ट फ़ोल्डर के मूल्य को समझता था। उन्होंने पीड़ित को चेतावनी दी कि इन रिकॉर्ड्स को लीक करने से अपराधियों को आरोपों से बचने के लिए आवश्यक जानकारी मिल जाएगी। पर्दे के पीछे, दबाव ने काम किया। काउंटी ने अपनी बातचीत $100,000 से शुरू की और अंततः सार्वजनिक डेटा डंप को रोकने के लिए अपनी पेशकश को उस राशि से दस गुना बढ़ा दिया।
काइरोस उन बढ़ते खतरे वाले अभिनेताओं का हिस्सा है जिन्होंने एन्क्रिप्शन को पूरी तरह से छोड़ दिया है। एक पारंपरिक रैनसमवेयर हमले में, अपराधी पीड़ित की फाइलों को लॉक कर देता है और डिक्रिप्शन कुंजी बेचता है। काइरोस ने उस कदम को छोड़ दिया। उन्होंने एक डिजिटल चोर की तरह काम किया जो परिवार के गहने चुराता है और फिर उन्हें शुल्क के बदले मालिक को वापस बेचने की पेशकश करता है। पीड़ित के सिस्टम चालू रहे, लेकिन उनकी प्रतिष्ठा और 45,487 निवासियों की गोपनीयता खतरे में थी।
सोफोस (Sophos) ने 2025 में रिपोर्ट दी कि केवल आधे रैनसमवेयर हमलों में अभी भी एन्क्रिप्शन शामिल है। यह छह वर्षों में सबसे कम दर है। साइलेंट रैनसम ग्रुप और काइरोस जैसे समूहों ने महसूस किया है कि डेटा चोरी की जबरन वसूली एक शोर वाले, नेटवर्क-व्यापी एन्क्रिप्शन इवेंट की तुलना में शांत और अक्सर पता लगाने में कठिन होती है। डिजाइन के अनुसार, ये हमले कई पारंपरिक एंटीवायरस टूल के रडार से नीचे रहते हैं जो एन्क्रिप्टर के तेजी से फ़ाइल संशोधन हस्ताक्षरों की तलाश करते हैं। नतीजतन, एक चोर हफ्तों तक नेटवर्क पर बैठ सकता है, बिना किसी अलार्म को ट्रिगर किए temp.sh जैसे बर्नर फ़ाइल-शेयरिंग लिंक के माध्यम से धीरे-धीरे डेटा निकाल सकता है।
एक बार जब 9.44 बिटकॉइन काइरोस वॉलेट में पहुंच गए, तो शोधन (laundering) की प्रक्रिया तुरंत शुरू हो गई। मैंने ब्लॉकचेन पर दुर्भावनापूर्ण अभिनेताओं पर नज़र रखने में वर्षों बिताए हैं, और इस पैसे ने जो रास्ता अपनाया वह परिचित है। भुगतान के कुछ घंटों के भीतर, धनराशि को कई नए पतों पर विभाजित कर दिया गया। सिक्कों के निकास बिंदु तक पहुँचने से पहले उनके मूल को छिपाने के लिए यह एक सामान्य रणनीति है। पैसा अंततः Bybit और OKX के जमा पतों के साथ-साथ BELQI नामक एक रूसी सेवा की ओर प्रवाहित हुआ।
ये क्रिप्टो एक्सचेंज अंतिम गंतव्य हैं जहाँ डिजिटल संपत्ति खर्च करने योग्य नकदी बन जाती है। जबकि ब्लॉकचेन हर कदम का एक सार्वजनिक बहीखाता प्रदान करता है, ये एक्सचेंज अक्सर जांचकर्ताओं के लिए युद्ध के कोहरे (fog of war) के रूप में कार्य करते हैं। जब तक एक्सचेंज अंतरराष्ट्रीय सम्मनों का पालन नहीं करता, तब तक जमा पते पर निशान अक्सर ठंडा हो जाता है। BELQI का उपयोग विशेष रूप से बताने वाला है। यह रूसी वित्तीय पारिस्थितिकी तंत्र के साथ सहजता का सुझाव देता है, जो पश्चिमी कानून प्रवर्तन की पहुंच से बाहर काम करने वाले जबरन वसूली करने वालों के लिए एक लगातार आश्रय बना हुआ है।
जब काउंटी ने $1 मिलियन का भुगतान किया, तो काइरोस ने विलोपन के प्रमाण के रूप में एक फ़ाइल प्रदान की। इस फ़ाइल में उन फ़ाइल नामों की सूची थी जिन्हें हमलावर ने अब मिटा देने का दावा किया था। यह आधुनिक जबरन वसूली का वास्तुशिल्प विरोधाभास है। एक पीड़ित उस कार्रवाई के लिए भुगतान करता है जिसे वे कभी भी वास्तव में सत्यापित नहीं कर सकते। फ़ाइल नामों की एक सूची केवल यह साबित करती है कि हमलावर की एक बार डेटा तक पहुंच थी। यह इस बात की कोई गारंटी नहीं देता है कि हमलावर ने कोई प्रति नहीं रखी या विलोपन होने से पहले डेटा किसी अन्य समूह को नहीं बेचा।
चोर के वादे को रसीद के रूप में मानना एक खतरनाक जुआ है। उल्लंघन की स्थिति में, डेटा पहले से ही समझौता किया जा चुका है। सीआईए ट्रायड (CIA Triad) की गोपनीयता उसी क्षण टूट जाती है जब पहला टेराबाइट नेटवर्क छोड़ता है। फिरौती का भुगतान करना एक प्रतिक्रियाशील उपाय है जो उस प्रतिष्ठा को वापस खरीदने का प्रयास करता है जो पहले ही क्षतिग्रस्त हो चुकी है। यह एक अपराधी द्वारा लिखा गया विश्वास का कार्य है। खतरे के परिदृश्य को देखते हुए, ये भुगतान अक्सर हमलों के अगले दौर को निधि देते हैं, जिससे एक चक्र बनता है जो अन्य कमजोर सरकारी संस्थाओं को लक्षित करता है।
काइरोस मामले का सबसे निराशाजनक हिस्सा प्रवेश बिंदु की सादगी है। हमलावर ने दावा किया कि वे पासवर्ड का अनुमान लगाकर अंदर घुसे। यह एक अनुस्मारक है कि यदि गेट खुला छोड़ दिया जाए तो नेटवर्क परिधि एक अप्रचलित महल की खाई है। छोटे सरकारी नेटवर्क अक्सर पुरानी प्रणालियों और कम आईटी बजट के साथ संघर्ष करते हैं, लेकिन इन समस्याओं के समाधान हमेशा महंगे नहीं होते हैं। उन्हें अधिक लचीली सुरक्षा स्थिति की ओर बदलाव की आवश्यकता होती है।
सक्रिय रूप से कहें तो, रक्षा की पहली पंक्ति मानव फ़ायरवॉल है। हालांकि, सबसे अच्छी तरह से प्रशिक्षित कर्मचारी भी उस सेवा पर ब्रूट-फोर्स हमले को नहीं रोक सकते जिसमें मल्टी-फैक्टर ऑथेंटिकेशन (MFA) की कमी है। यदि कोई हमलावर पासवर्ड का अनुमान लगा सकता है और पहुंच प्राप्त कर सकता है, तो सिस्टम वास्तुशिल्प स्तर पर विफल हो गया है। सुरक्षा वह उत्पाद नहीं है जिसे आप खरीदते हैं; यह एक प्रक्रिया है जिसका आप पालन करते हैं। काउंटी सरकार के लिए, उस प्रक्रिया में सख्त पहुंच नियंत्रण और संवेदनशील डेटा का विभाजन शामिल होना चाहिए।
अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह एक पेशेवर साइबर सुरक्षा ऑडिट, फोरेंसिक जांच, या घटना प्रतिक्रिया सेवा की जगह नहीं लेता है। लाइव सुरक्षा घटना का जवाब देते समय हमेशा कानूनी और तकनीकी पेशेवरों से परामर्श लें।



हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।
/ एक नि: शुल्क खाता बनाएं