जर्मन पुलिस ने GandCrab·REvil ransomware गिरोह के रूसी सरगना का असली नाम सार्वजनिक किया

 (krebsonsecurity.com)
1 पॉइंट द्वारा GN⁺ 25 일 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • जर्मनी के Federal Criminal Police Office ने रूसी नागरिक दानिल मक्सिमोविच श्चुकिन को GandCrab और REvil ransomware गिरोह का सरगना बताते हुए उसका असली नाम सार्वजनिक किया
  • श्चुकिन 'UNKN(UNKNOWN)' नाम से सक्रिय था और पीड़ितों से दो बार पैसे वसूलने वाली double extortion पद्धति को लागू करने वाला प्रमुख व्यक्ति माना जाता है
  • GandCrab 2018 में सामने आया, उसने affiliate model के जरिए लगभग 2 अरब डॉलर वसूले और फिर बंद हो गया; इसके बाद REvil आया, जिसने बड़ी कंपनियों को निशाना बनाया
  • अमेरिकी Department of Justice ने श्चुकिन के नाम पर मौजूद cryptocurrency accounts को जब्त करने का अनुरोध किया, और जर्मन अधिकारियों ने कहा कि उसके रूस के क्रास्नोडार में रहने की प्रबल संभावना है
  • REvil काम के outsourcing और sub-ecosystem वाले औद्योगिक अपराध ढांचे में विकसित हुआ, लेकिन 2021 के Kaseya hack के बाद FBI के हस्तक्षेप से ढह गया

जर्मनी ने रूसी ransomware गिरोह GandCrab·REvil के सरगना ‘UNKN’ की पहचान सार्वजनिक की

  • जर्मन Federal Criminal Police Office (BKA) ने रूसी नागरिक दानिल मक्सिमोविच श्चुकिन (Daniil Maksimovich Shchukin) को GandCrab और REvil ransomware गिरोहों का सरगना बताया
    • श्चुकिन पर 2019 से 2021 के बीच जर्मनी में कम से कम 130 मामलों में कंप्यूटर सिस्टम को नुकसान पहुंचाने और उगाही का नेतृत्व करने का आरोप है
    • जांच के अनुसार, उसने एक अन्य रूसी अनातोली सेर्गेयेविच क्रावचुक (Anatoly Sergeevitsch Kravchuk) के साथ मिलकर लगभग 20 लाख यूरो वसूले और कुल 3.5 करोड़ यूरो से अधिक का आर्थिक नुकसान पहुंचाया
  • BKA ने कहा कि श्चुकिन ‘UNKN’ (या UNKNOWN) नाम से सक्रिय था और double extortion तरीका लागू करने वाला केंद्रीय व्यक्ति था
    • पीड़ितों को एक बार decryption key पाने के लिए और दूसरी बार चोरी किए गए डेटा को सार्वजनिक होने से रोकने के लिए भुगतान करना पड़ता था
    • GandCrab और REvil को वैश्विक स्तर पर सक्रिय बड़े ransomware नेटवर्क माना जाता है

GandCrab और REvil का गठन और विकास

  • GandCrab ransomware जनवरी 2018 में सामने आया और उसने हैकरों के लिए ऐसा affiliate model चलाया, जिसमें सिर्फ corporate account में घुसपैठ करके भी कमाई में हिस्सा मिल सकता था
    • development team ने security companies की प्रतिक्रिया से बचने के लिए पांच बार बड़े version जारी किए और लगातार फीचर्स बेहतर किए
    • मई 2019 में, लगभग 2 अरब डॉलर वसूलने के बाद इसने अपना ऑपरेशन बंद करने की घोषणा की और संदेश छोड़ा कि “बुरे काम करके भी सुरक्षित रूप से अमीर बना जा सकता है”
  • GandCrab के बंद होने के तुरंत बाद REvil ransomware सामने आया
    • ‘UNKNOWN’ नाम के एक यूज़र ने रूसी अपराध फोरम में 10 लाख डॉलर जमा कर भरोसा हासिल किया, और इसे GandCrab के पुनर्गठन के रूप में देखा गया
    • REvil ने बड़ी कंपनियों और insured organizations को मुख्य निशाना बनाकर भारी फिरौती मांगने वाली ‘big-game hunting’ strategy अपनाई

श्चुकिन की पहचान और अंतरराष्ट्रीय जांच

  • अमेरिकी Department of Justice ने फरवरी 2023 में REvil की गतिविधियों से जुड़ी कमाई वाले cryptocurrency accounts की जब्ती का अनुरोध करते हुए श्चुकिन का नाम स्पष्ट रूप से दर्ज किया
    • संबंधित wallet में लगभग 3 लाख 17 हजार डॉलर मूल्य की cryptocurrency मौजूद थी
  • BKA ने कहा कि श्चुकिन रूस के क्रास्नोडार का रहने वाला है और संभव है कि वह अभी भी वहीं रह रहा हो
    • एजेंसी ने यह भी कहा कि “उसके विदेश में होने की संभावना भी है, और यात्रा गतिविधियों से इनकार नहीं किया जा सकता”

REvil का संचालन और औद्योगिक अपराध ढांचा

  • Renee Dudley और Daniel Golden की किताब The Ransomware Hunting Team के अनुसार, REvil ने एक वैध कंपनी की तरह काम का outsourcing और reinvestment करके दक्षता बढ़ाई
    • developers गुणवत्ता सुधार पर ध्यान देते थे, जबकि बाहरी कंपनियां web design, logistics और encryption services संभालती थीं
    • ‘crypter’ providers, ‘initial access brokers’, और Bitcoin laundering services जैसे कई sub-ecosystem बन गए, जिनसे अपराध उद्योग और फैला

प्रमुख घटना और पतन

  • 4 जुलाई 2021 के सप्ताहांत में REvil ने अमेरिकी IT management company Kaseya को hack किया, जिससे 1,500 से अधिक ग्राहक कंपनियां प्रभावित हुईं
    • FBI ने कहा कि वह पहले से REvil के servers में घुसी हुई थी, लेकिन ऑपरेशन उजागर होने से बचाने के लिए तुरंत हस्तक्षेप नहीं कर सकी
    • बाद में FBI ने free decryption key जारी की, जिसके बाद REvil व्यावहारिक रूप से ढह गया

अतिरिक्त सुराग और पहचान की पुष्टि

  • cyber intelligence company Intel 471 के forum analysis के अनुसार, श्चुकिन ने अतीत में ‘Ger0in’ नाम से botnet संचालन और malware installation services बेचने का रिकॉर्ड छोड़ा था
    • Ger0in 2010 से 2011 के बीच सक्रिय था, लेकिन UNKNOWN से उसका सीधा संबंध पुष्टि नहीं हुआ
  • Pimeyes image comparison site के जरिए BKA द्वारा जारी तस्वीर और 2023 की क्रास्नोडार birthday party photo में दिख रहे व्यक्ति की एक ही घड़ी पहने होने की समानता पाई गई
  • 2023 की जर्मन CCC (Chaos Communication Congress) कॉन्फ्रेंस में भी श्चुकिन को REvil leader के रूप में उल्लेख करने वाला English-dubbed audio सार्वजनिक किया गया

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 25 일 전
Hacker News की राय

  • सुना था कि कुछ साल पहले ही CCC से जुड़े हैकर्स ने इन लोगों में से एक की पहचान उजागर कर दी थी
    जैसा अपडेट में भी बताया गया है, यह CCC प्रस्तुति वीडियो में भी कवर किया गया था
    इससे जिज्ञासा होती है कि जांच एजेंसियों ने यह खुद पता लगाया, या फिर पहले से बचाव में शामिल रहे हैकर्स से मदद मांगी

    • मैं इस विषय का गहरा जानकार नहीं हूँ, लेकिन आम तौर पर CCC और BND (जर्मन खुफिया एजेंसी) के बीच बहुत गर्मजोशी वाले संबंध नहीं हैं
      खासकर BND द्वारा जर्मन नागरिकों की निगरानी वाले मामले के बाद तो और भी नहीं, और ऐतिहासिक रूप से भी टकराव रहा है
      इसलिए अगर कोई हैकर BND के साथ सहयोग करे, तो साथी हैकर्स के बीच उसका भरोसा खोने का जोखिम हो सकता है
    • Linus Neumann ने भी हाल की Logbuch Netzpolitik पॉडकास्ट एपिसोड में हैरानी जताई कि यह सब अभी क्यों हो रहा है
      उनके अनुसार, उनसे भी आधिकारिक रूप से कभी संपर्क नहीं किया गया

  • Spiegel ने हाल ही में इस मामले पर एक वीडियो रिपोर्ट डाली है

  • यह सवाल उठता है कि किसी को ‘most wanted list’ में डालना क्या doxing कहलाता है
    आधिकारिक विवरण में लिखा है, “Daniil Maksimovich Shchukin को कंपनियों और सार्वजनिक संस्थानों के खिलाफ ransomware extortion के आरोप में अंतरराष्ट्रीय स्तर पर वांछित घोषित किया गया है”

    • मुझे यह शब्द-प्रयोग असहज लगता है। ‘doxing’ मूल रूप से नकारात्मक अर्थ वाला शब्द है, और तब इस्तेमाल होता है जब किसी ऐसे व्यक्ति की निजी जानकारी उजागर की जाए जिसने कुछ गलत न किया हो
      यहाँ ‘accuse’ या ‘unmask’ ज्यादा सटीक शब्द लगते हैं
    • भाषा बदलने के साथ आजकल ‘doxing’ शायद सिर्फ बिना सहमति निजी जानकारी सार्वजनिक करने के अर्थ में भी इस्तेमाल होने लगा है
    • यह भी कहा जा रहा है कि अमेरिका ने उसे 3 साल पहले ही पहचान लिया था
    • यह तर्क समझना मुश्किल लगता है। शायद GDPR को कुछ ज्यादा ही गंभीरता से लिया जा रहा है (मज़ाक है)
    • अगर सिर्फ ‘UNKN’ को वांछित सूची में डाला गया होता तो वह doxing नहीं होता, लेकिन ‘UNKN’ को असली नाम से जोड़ दिया गया, इसलिए उसे doxing माना जा सकता है

  • समझ नहीं आता कि “एक गुमनाम धमकी देने वाले का नाम सार्वजनिक किया” जाना doxing क्यों है
    लेख में न उसका पता है, न परिवार की जानकारी, न संपर्क विवरण; बस यह बताया गया है कि “यह व्यक्ति गिरफ्तारी के लिए वांछित है”

    • लगता है आजकल ‘doxing’ का अर्थ ‘संबंधित व्यक्ति की सहमति के बिना जानकारी सार्वजनिक करना’ तक फैल गया है
      समस्या यह है कि ऐसी जानकारी सार्वजनिक होने पर आसपास के लोग उसे अपराधी या अमीर पड़ोसी समझ सकते हैं, जिससे चोरी या धमकी की कोशिशें हो सकती हैं
      वास्तव में doxing का शिकार हुए साइबर अपराधियों को धमकाने के लिए खुफिया एजेंसी बनकर संपर्क करने तक के मामले हुए हैं
    • और वैसे भी, “जर्मनी उसे चाहता है” यह बात अपने-आप में बहुत असरदार नहीं लगती

  • लोग ‘doxing’ शब्द के अर्थ पर कुछ ज्यादा ही अटक रहे हैं
    अनाम हैकिंग कम्युनिटी में किसी की OPSEC (security operations) उजागर करना ही doxing माना जाता है
    कुछ लोग ‘full disclosure’ के तरीके से OPSEC की हर विफलता तुरंत सार्वजनिक कर देते हैं
    वरना कोई उस जानकारी को जमा करके बाद में ब्लैकमेल के लिए इस्तेमाल कर सकता है

  • मुझे लगता है ‘doxxes’ सही spelling है। ‘doxes’ उच्चारण में ‘डॉक्सिज़’ जैसा अटपटा लगता है
    कुछ दशक पहले तक ऐसा headline खुद एक अजीब शब्द-खेल जैसा लगता

  • पता नहीं कब से आधिकारिक वांछित सूची में डालना भी doxing कहलाने लगा
    अगर कोई चाहता है कि जानकारी हटे, तो अदालत में पेश हो जाए