नई दिल्ली। वैश्विक साइबर सुरक्षा जगत में एक नए और बेहद खतरनाक ट्रेंड ने चिंता बढ़ा दी है। ‘Payouts King’ नामक रैनसमवेयर अब पारंपरिक तरीकों से हटकर वर्चुअल मशीन (VM) के अंदर छिपकर हमला कर रहा है, जिससे आधुनिक एंडपॉइंट सिक्योरिटी सिस्टम भी इसे पहचानने में नाकाम साबित हो रहे हैं। हाल ही में साइबर सुरक्षा कंपनी Sophos की रिपोर्ट में इस जटिल हमले की विस्तृत जानकारी सामने आई है।
रिपोर्ट के अनुसार, हमलावर ओपन-सोर्स टूल QEMU का इस्तेमाल कर संक्रमित सिस्टम के भीतर एक छिपी हुई वर्चुअल मशीन बनाते हैं। चूंकि अधिकांश सिक्योरिटी सॉल्यूशन होस्ट सिस्टम तक ही सीमित रहते हैं, वे इस VM के अंदर चल रही गतिविधियों को स्कैन नहीं कर पाते। यही वजह है कि हमलावर बिना पकड़े गए अपने मालवेयर को चलाने, डेटा स्टोर करने और चोरी करने में सफल हो जाते हैं।
Alpine Linux VM में छिपा पूरा अटैक इंफ्रास्ट्रक्चर
जांच में सामने आया कि हमलावर ‘TPMProfiler’ नाम का एक शेड्यूल्ड टास्क बनाते हैं, जो SYSTEM लेवल पर एक छिपा हुआ VM लॉन्च करता है। इस VM में Alpine Linux का उपयोग किया जाता है, जिसमें पहले से कई खतरनाक टूल इंस्टॉल रहते हैं। इनमें AdaptixC2, Chisel, BusyBox और Rclone जैसे टूल शामिल हैं, जो रिमोट कंट्रोल, डेटा ट्रांसफर और नेटवर्क टनलिंग में इस्तेमाल होते हैं।
हमलावर वर्चुअल डिस्क फाइल्स को डेटाबेस या DLL फाइल के रूप में छिपाते हैं, जिससे वे सिस्टम में सामान्य फाइल की तरह दिखें। इसके बाद SSH के जरिए एक गुप्त टनल बनाई जाती है, जो संक्रमित सिस्टम को बाहरी सर्वर से जोड़ देती है।
VPN और सॉफ्टवेयर खामियों से मिलती है एंट्री
रिपोर्ट के मुताबिक, इस रैनसमवेयर गिरोह ने शुरुआती एक्सेस के लिए कई तरीके अपनाए। इनमें एक्सपोज्ड VPN सिस्टम, खासकर SonicWall और Cisco SSL VPN शामिल हैं। इसके अलावा SolarWinds Web Help Desk में मौजूद एक गंभीर खामी का भी फायदा उठाया गया।
हाल के मामलों में हमलावरों ने सोशल इंजीनियरिंग का सहारा लिया। वे खुद को IT सपोर्ट बताकर कर्मचारियों को Microsoft Teams पर संपर्क करते हैं और उन्हें Quick Assist डाउनलोड करने के लिए कहते हैं। एक बार एक्सेस मिलने के बाद पूरा सिस्टम उनके नियंत्रण में आ जाता है।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
डेटा चोरी और नेटवर्क कंट्रोल का खतरनाक खेल
सिस्टम में घुसने के बाद हमलावर VSS टूल का इस्तेमाल कर शैडो कॉपी बनाते हैं और फिर NTDS.dit, SAM और SYSTEM जैसी संवेदनशील फाइल्स को कॉपी कर लेते हैं। इसके जरिए वे पूरे नेटवर्क की क्रेडेंशियल्स तक पहुंच बना लेते हैं।
इसके बाद डेटा को Rclone के जरिए रिमोट सर्वर पर भेजा जाता है। कई मामलों में एक्टिव डायरेक्टरी की पूरी मैपिंग, यूजर एन्यूमरेशन और केर्बेरोस अटैक जैसे उन्नत साइबर ऑपरेशन भी देखे गए हैं।
BlackBasta से कनेक्शन के संकेत
एक अन्य रिपोर्ट के अनुसार, ‘Payouts King’ रैनसमवेयर का संबंध पुराने BlackBasta गिरोह के सदस्यों से हो सकता है। इसके हमले के तरीके—जैसे स्पैम बॉम्बिंग, फिशिंग और Quick Assist का दुरुपयोग—पहले भी BlackBasta द्वारा अपनाए जा चुके हैं।
यह रैनसमवेयर AES-256 और RSA-4096 एन्क्रिप्शन का इस्तेमाल करता है, जिससे फाइल्स को रिकवर करना लगभग असंभव हो जाता है। बड़े फाइल्स पर यह आंशिक एन्क्रिप्शन लागू करता है ताकि तेजी से हमला किया जा सके।
विशेषज्ञों की चेतावनी और बचाव के उपाय
साइबर विशेषज्ञों का कहना है कि यह हमला पारंपरिक डिफेंस सिस्टम के लिए बड़ी चुनौती है। संगठनों को अनजान QEMU इंस्टॉलेशन, SYSTEM लेवल पर चल रहे संदिग्ध टास्क, असामान्य SSH टनल और अनजान नेटवर्क ट्रैफिक पर नजर रखनी चाहिए।
“यह एक नया और खतरनाक ट्रेंड है, जहां हमलावर सिक्योरिटी सिस्टम के ‘ब्लाइंड स्पॉट’ का फायदा उठा रहे हैं। वर्चुअल मशीन के भीतर छिपा मालवेयर भविष्य में और बड़े साइबर हमलों का संकेत है,” एक साइबर सुरक्षा विश्लेषक ने चेताया।
विशेषज्ञों के अनुसार, मल्टी-लेयर सिक्योरिटी, नियमित पैचिंग, और कर्मचारियों को फिशिंग से सतर्क करना ही इस तरह के हमलों से बचाव का सबसे प्रभावी तरीका है।
