साइबर सुरक्षा

एक गुप्त मिलियन डॉलर काउंटी फिरौती भुगतान का पोस्टमार्टम

एक अमेरिकी काउंटी द्वारा काइरोस समूह को किए गए $1 मिलियन के गुप्त भुगतान का पोस्टमार्टम, एन्क्रिप्शन से शुद्ध डेटा-चोरी जबरन वसूली की ओर बदलाव की खोज।
एक गुप्त मिलियन डॉलर काउंटी फिरौती भुगतान का पोस्टमार्टम

मैंने एक शांत मंगलवार की शाम एक सूत्र द्वारा सुरक्षित सिग्नल चैनल के माध्यम से प्रदान किए गए लीक हुए बातचीत लॉग की समीक्षा करते हुए बिताई। एक सार्वजनिक अधिकारी को यह महसूस करते हुए देखने में एक विशिष्ट प्रकार का डर होता है कि उनका वार्षिक बजट एक विकेंद्रीकृत क्रिप्टो वॉलेट में गायब होने वाला है। रैनसम-ISAC के लिए राकेश कृष्णन द्वारा विश्लेषण किए गए लॉग, काइरोस (Kairos) नामक समूह और एक अमेरिकी सरकारी इकाई, जो यूनियन काउंटी, ओहियो प्रतीत होती है, के बीच एक महीने तक चली उच्च-दांव वाली सौदेबाजी का विवरण देते हैं। चुप्पी की अंतिम कीमत लगभग $1 मिलियन थी।

यह उल्लंघन घटनाओं की एक व्यवस्थित श्रृंखला का अनुसरण करता है जो एक साधारण विफलता के साथ शुरू हुई थी। हमलावर का दावा है कि उन्होंने पासवर्ड का अनुमान लगाकर नेटवर्क में प्रवेश किया। इसमें कोई ज़ीरो-डे एक्सप्लॉइट और कोई जटिल सोशल इंजीनियरिंग नहीं थी। एक बार अंदर जाने के बाद, घुसपैठिए ने पारंपरिक सुरक्षा को दरकिनार कर दिया क्योंकि वे चीजों को तोड़ने की कोशिश नहीं कर रहे थे। वे चीजें लेना चाहते थे। जोखिम के दृष्टिकोण से, यह घटना इस बात में बदलाव का संकेत देती है कि आधुनिक जबरन वसूली करने वाले कैसे काम करते हैं। उन्होंने महसूस किया है कि पूरे नेटवर्क को एन्क्रिप्ट करने के लिए आवश्यक प्रयास अक्सर अनावश्यक होते हैं। चोरी किया गया डेटा एक जहरीली संपत्ति है, और इसे जारी करने की धमकी वह सारा लाभ प्रदान करती है जिसकी एक अपराधी को आवश्यकता होती है।

एक शांत आत्मसमर्पण का कागजी निशान

लेन-देन 13 जून, 2025 को हुआ था। पीड़ित की ओर से काइरोस द्वारा नियंत्रित वॉलेट में 9.44 बिटकॉइन का भुगतान किया गया। उस समय, यह राशि लगभग $1 मिलियन के बराबर थी। जबकि काउंटी ने मई 2025 में रैनसमवेयर हमले को सार्वजनिक रूप से स्वीकार किया था, इस भारी भुगतान का विवरण तब तक छिपा रहा जब तक कि शोधकर्ताओं ने लीक हुई चैट और ब्लॉकचेन रिकॉर्ड से समयरेखा का पुनर्निर्माण नहीं किया। चैट में पीड़ित ने खुद को सीमित संसाधनों वाले एक छोटे काउंटी के रूप में वर्णित किया, एक ऐसा विवरण जो यूनियन काउंटी की प्रोफाइल से मेल खाता है, जो लगभग 70,000 निवासियों की सेवा करता है।

दांव पर लगा डेटा बहुत बड़ा था। काइरोस ने 1.6 मिलियन व्यक्तिगत फाइलों सहित 2 टेराबाइट से अधिक जानकारी रखने का दावा किया। इनमें स्थानीय अभियोजक के कार्यालय के दस्तावेज भी शामिल थे। हमलावर इस विशिष्ट फ़ोल्डर के मूल्य को समझता था। उन्होंने पीड़ित को चेतावनी दी कि इन रिकॉर्ड्स को लीक करने से अपराधियों को आरोपों से बचने के लिए आवश्यक जानकारी मिल जाएगी। पर्दे के पीछे, दबाव ने काम किया। काउंटी ने अपनी बातचीत $100,000 से शुरू की और अंततः सार्वजनिक डेटा डंप को रोकने के लिए अपनी पेशकश को उस राशि से दस गुना बढ़ा दिया।

शुद्ध जबरन वसूली के खेल की शारीरिक रचना

काइरोस उन बढ़ते खतरे वाले अभिनेताओं का हिस्सा है जिन्होंने एन्क्रिप्शन को पूरी तरह से छोड़ दिया है। एक पारंपरिक रैनसमवेयर हमले में, अपराधी पीड़ित की फाइलों को लॉक कर देता है और डिक्रिप्शन कुंजी बेचता है। काइरोस ने उस कदम को छोड़ दिया। उन्होंने एक डिजिटल चोर की तरह काम किया जो परिवार के गहने चुराता है और फिर उन्हें शुल्क के बदले मालिक को वापस बेचने की पेशकश करता है। पीड़ित के सिस्टम चालू रहे, लेकिन उनकी प्रतिष्ठा और 45,487 निवासियों की गोपनीयता खतरे में थी।

सोफोस (Sophos) ने 2025 में रिपोर्ट दी कि केवल आधे रैनसमवेयर हमलों में अभी भी एन्क्रिप्शन शामिल है। यह छह वर्षों में सबसे कम दर है। साइलेंट रैनसम ग्रुप और काइरोस जैसे समूहों ने महसूस किया है कि डेटा चोरी की जबरन वसूली एक शोर वाले, नेटवर्क-व्यापी एन्क्रिप्शन इवेंट की तुलना में शांत और अक्सर पता लगाने में कठिन होती है। डिजाइन के अनुसार, ये हमले कई पारंपरिक एंटीवायरस टूल के रडार से नीचे रहते हैं जो एन्क्रिप्टर के तेजी से फ़ाइल संशोधन हस्ताक्षरों की तलाश करते हैं। नतीजतन, एक चोर हफ्तों तक नेटवर्क पर बैठ सकता है, बिना किसी अलार्म को ट्रिगर किए temp.sh जैसे बर्नर फ़ाइल-शेयरिंग लिंक के माध्यम से धीरे-धीरे डेटा निकाल सकता है।

एक्सचेंजों तक पैसे का पीछा करें

एक बार जब 9.44 बिटकॉइन काइरोस वॉलेट में पहुंच गए, तो शोधन (laundering) की प्रक्रिया तुरंत शुरू हो गई। मैंने ब्लॉकचेन पर दुर्भावनापूर्ण अभिनेताओं पर नज़र रखने में वर्षों बिताए हैं, और इस पैसे ने जो रास्ता अपनाया वह परिचित है। भुगतान के कुछ घंटों के भीतर, धनराशि को कई नए पतों पर विभाजित कर दिया गया। सिक्कों के निकास बिंदु तक पहुँचने से पहले उनके मूल को छिपाने के लिए यह एक सामान्य रणनीति है। पैसा अंततः Bybit और OKX के जमा पतों के साथ-साथ BELQI नामक एक रूसी सेवा की ओर प्रवाहित हुआ।

ये क्रिप्टो एक्सचेंज अंतिम गंतव्य हैं जहाँ डिजिटल संपत्ति खर्च करने योग्य नकदी बन जाती है। जबकि ब्लॉकचेन हर कदम का एक सार्वजनिक बहीखाता प्रदान करता है, ये एक्सचेंज अक्सर जांचकर्ताओं के लिए युद्ध के कोहरे (fog of war) के रूप में कार्य करते हैं। जब तक एक्सचेंज अंतरराष्ट्रीय सम्मनों का पालन नहीं करता, तब तक जमा पते पर निशान अक्सर ठंडा हो जाता है। BELQI का उपयोग विशेष रूप से बताने वाला है। यह रूसी वित्तीय पारिस्थितिकी तंत्र के साथ सहजता का सुझाव देता है, जो पश्चिमी कानून प्रवर्तन की पहुंच से बाहर काम करने वाले जबरन वसूली करने वालों के लिए एक लगातार आश्रय बना हुआ है।

विलोपन के प्रमाण का भ्रम

जब काउंटी ने $1 मिलियन का भुगतान किया, तो काइरोस ने विलोपन के प्रमाण के रूप में एक फ़ाइल प्रदान की। इस फ़ाइल में उन फ़ाइल नामों की सूची थी जिन्हें हमलावर ने अब मिटा देने का दावा किया था। यह आधुनिक जबरन वसूली का वास्तुशिल्प विरोधाभास है। एक पीड़ित उस कार्रवाई के लिए भुगतान करता है जिसे वे कभी भी वास्तव में सत्यापित नहीं कर सकते। फ़ाइल नामों की एक सूची केवल यह साबित करती है कि हमलावर की एक बार डेटा तक पहुंच थी। यह इस बात की कोई गारंटी नहीं देता है कि हमलावर ने कोई प्रति नहीं रखी या विलोपन होने से पहले डेटा किसी अन्य समूह को नहीं बेचा।

चोर के वादे को रसीद के रूप में मानना एक खतरनाक जुआ है। उल्लंघन की स्थिति में, डेटा पहले से ही समझौता किया जा चुका है। सीआईए ट्रायड (CIA Triad) की गोपनीयता उसी क्षण टूट जाती है जब पहला टेराबाइट नेटवर्क छोड़ता है। फिरौती का भुगतान करना एक प्रतिक्रियाशील उपाय है जो उस प्रतिष्ठा को वापस खरीदने का प्रयास करता है जो पहले ही क्षतिग्रस्त हो चुकी है। यह एक अपराधी द्वारा लिखा गया विश्वास का कार्य है। खतरे के परिदृश्य को देखते हुए, ये भुगतान अक्सर हमलों के अगले दौर को निधि देते हैं, जिससे एक चक्र बनता है जो अन्य कमजोर सरकारी संस्थाओं को लक्षित करता है।

कम वित्त पोषित नेटवर्क को सुरक्षित करना

काइरोस मामले का सबसे निराशाजनक हिस्सा प्रवेश बिंदु की सादगी है। हमलावर ने दावा किया कि वे पासवर्ड का अनुमान लगाकर अंदर घुसे। यह एक अनुस्मारक है कि यदि गेट खुला छोड़ दिया जाए तो नेटवर्क परिधि एक अप्रचलित महल की खाई है। छोटे सरकारी नेटवर्क अक्सर पुरानी प्रणालियों और कम आईटी बजट के साथ संघर्ष करते हैं, लेकिन इन समस्याओं के समाधान हमेशा महंगे नहीं होते हैं। उन्हें अधिक लचीली सुरक्षा स्थिति की ओर बदलाव की आवश्यकता होती है।

सक्रिय रूप से कहें तो, रक्षा की पहली पंक्ति मानव फ़ायरवॉल है। हालांकि, सबसे अच्छी तरह से प्रशिक्षित कर्मचारी भी उस सेवा पर ब्रूट-फोर्स हमले को नहीं रोक सकते जिसमें मल्टी-फैक्टर ऑथेंटिकेशन (MFA) की कमी है। यदि कोई हमलावर पासवर्ड का अनुमान लगा सकता है और पहुंच प्राप्त कर सकता है, तो सिस्टम वास्तुशिल्प स्तर पर विफल हो गया है। सुरक्षा वह उत्पाद नहीं है जिसे आप खरीदते हैं; यह एक प्रक्रिया है जिसका आप पालन करते हैं। काउंटी सरकार के लिए, उस प्रक्रिया में सख्त पहुंच नियंत्रण और संवेदनशील डेटा का विभाजन शामिल होना चाहिए।

सार्वजनिक और निजी संस्थाओं के लिए मुख्य निष्कर्ष

  • प्रत्येक बाहरी सेवा पर मल्टी-फैक्टर ऑथेंटिकेशन लागू करें। पासवर्ड का अनुमान लगाना काइरोस जैसे समूहों के लिए पैर जमाने का सबसे आम तरीका बना हुआ है।
  • बड़े आउटबाउंड डेटा ट्रांसफर की निगरानी करें। 2 टेराबाइट डेटा ले जाने वाले हमलावर को एक अच्छी तरह से मॉनिटर किए गए SOC में तत्काल जांच शुरू करनी चाहिए।
  • अपने नेटवर्क को विभाजित करें। अभियोजक के कार्यालय, एचआर रिकॉर्ड और वित्तीय डेटा को अलग-थलग क्षेत्रों में रखें। यह एक चोर को एक निम्न-स्तरीय खाते से समझौता करने के बाद पूरे खजाने तक पहुँचने से रोकता है।
  • अपने फ़ाइल-शेयरिंग ट्रैफ़िक का ऑडिट करें। temp.sh जैसी अस्थायी होस्टिंग साइटों पर स्थानांतरण को ब्लॉक करें या अलर्ट करें, जिनका उपयोग अक्सर डेटा चोरी के लिए किया जाता है।
  • मान लें कि डेटा चला गया है। एक बार डेटा चोरी हो जाने के बाद, कोई भी भुगतान वास्तव में उसकी गोपनीयता बहाल नहीं कर सकता है। बातचीत के बजाय रोकथाम और पहचान को प्राथमिकता दें।

स्रोत और आगे पढ़ने के लिए

  • Ransom-ISAC: Case Study on Kairos and Union County, Ohio (2025)
  • Sophos: State of Ransomware Report 2025
  • NIST: Guide to Data Confidentiality and Extortion Defense (SP 800-209)
  • MITRE ATT&CK: Exfiltration Over Web Service (T1567)

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह एक पेशेवर साइबर सुरक्षा ऑडिट, फोरेंसिक जांच, या घटना प्रतिक्रिया सेवा की जगह नहीं लेता है। लाइव सुरक्षा घटना का जवाब देते समय हमेशा कानूनी और तकनीकी पेशेवरों से परामर्श लें।

bg
bg
bg

आप दूसरी तरफ देखिए।

हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।

/ एक नि: शुल्क खाता बनाएं