فائلیں ڈیلیٹ کرنے والا دھوکے باز رینسم ویئر

چند ہفتوں پہلے خبریں آئیں تھیں کہ ایک نیا ransomwareویب سرورز پر حملے کر کے فائلیں ڈیلیٹ کر رہا ہے۔سیکورٹی ریسرچر کا کہنا ہے کہ یہ حملے Redis ڈیٹا بیس کی غیر محفوظ انسٹالیشن کی وجہ سے ہوئے ہیں۔ پچھلے کچھ ہفتوں نے سپورٹ فورمز پر سرور کا ڈیٹا اڑانے اور تاوان کا نوٹ لگانے پر ، رپورٹس گردش کر رہی ہیں۔ ان رپورٹس کے مطابق حملہ آوروں نے پیش کش کی ہے کہ اگر انہیں 2 بٹ کوائن(1150ڈالر) دئیے جائیں تو وہ ڈیلیٹ کی ہوئی فائلیں واپس کر دیں گے۔ایک سپورٹ فورمBleepingComputer.com پر ماہرین نے اس طرح کے خطروں کو فیئر وئیر(Fairware) کا نام دیا ہے۔
کچھ دن پہلے سیکورٹی فرم Duo Security کے ماہرین نے بتایا کہ ایسےحملے ایسے کمپیوٹروں پر ہوتے ہیں جن میں عوامی رسائی کے قابل Redis ڈیٹا بیس انسٹال ہو۔ Redis ڈیٹا بیس غیر محفوظ ہے، ایسا اسے بنانے والے بھی واضح طور پر کہتے ہیں۔ یہ بنیادی طور پر ایک اوپن سورس اِن میموری ڈیٹا اسٹرکچر اسٹور ہےجسے ڈیٹا بیس اور cache (کیش ) کے طور پر استعمال کیا جاتا ہے۔ اس کے ڈویلپرز خبردار کرتے ہیں کہ اسےبااعتماد ماحول میں بااعتماد کلائنٹ کی رسائی کے لیے ڈیزائن کیا گیا ہے۔ ڈویلپرز کے مطابق اس کا انٹرنیٹ پر قابل رسائی ہونا کوئی اچھا آئیڈیا نہیں ہے۔

حملہ آور Redis کے غیر محفوظ ہونے کا فائدہ اٹھاتے ہیں اور روٹ کی SSH Key کو تبدیل کردیتے ہیں۔ اس کے بعد وہ سرور پر موجود ڈیٹا کو ڈیلیٹ کرنے کے لئے درکار صلاحیت حاصل کرلیتے ہیں اس ڈیٹا کو حذف کرنے کے بعد تاوان کا نوٹ لگا کر رفو چکر ہوجاتےہیں۔ اگرچہ تحقیق کے بعد یہ پتا چلا ہے کہ حملہ آور فائلوں کو انکرپٹ نہیں کرتے اور فائلوں کو واپس بحال کرنے کا کوئی طریقہ بھی موجود نہیں۔

Redisکی وارننگ کے باوجود ایسے ہزاروں سرور ایڈمنسٹریٹر ہیں جنہوں نے Redis ڈیٹا بیس کو انٹرنیٹ پر کھلا رکھا ہوا ہے۔ سکیوریٹی کمپنی Due سکیوریٹی کے مطابق تقریباً 13 ہزار کے لگ بھگ Redis ڈیٹا بیس سرور اس نئے رینسم ویئر سے متاثر ہوئے ہیں۔

Duo Securityکے ماہرین نے ایک سروربنا کر اس پر Redis نصب کیا اور شکاری کا انتظار کرنے لگے۔اس کے بعد ماہرین نے حملوں کی مانیٹرنگ شروع کر دی کہ حملہ آور کنکٹ ہونے کے بعد سرور کو کس طرح کی کمانڈ دیتے ہیں۔ ماہرین کے مطابق حملہ آوروں نے تمام کمانڈ فائلوں کو ڈیلیٹ کرنے اور تاوان کا نوٹ لگانے کے لیے دیں۔ نوٹ میں کہا گیا تھا کہ فائلوں کو انکرپٹ کر کے ریموٹ سرور پر منتقل کر دیا گیا مگر ماہرین کے مطابق ہیکروں نے ایسا کچھ بھی نہیں کیا تھا۔ ماہرین کے مطابق ہیکر لوگوں کی نفسیات سے فائدہ اٹھاتے ہیں جو ڈیلیٹ ہوجانے والی فائلوں کے لیے تاوان ادا کرنے پر رضامند ہوتے ہیں۔محققین کا کہنا ہے کہ ان کے سرور پر لکھا جانے والا نوٹ شروع میں بیان کی گئی FairWare کے نوٹ سے مختلف تھا۔

رانسم ویئررینسم ویئرفیئر ویئر