लॉस एंजेलिसमध्ये रविवारी पहाटे 3:37 वाजले आहेत आणि वेस्ट कोस्टच्या अग्रगण्य वित्तीय सेवा कंपन्यांपैकी एक जमीन (LOTL) हल्ल्याचा दुसरा आठवडा अनुभवत आहे. राष्ट्र-राज्य सायबर हल्ला पथकाने क्रिप्टोकरन्सीमध्ये नफा मिळवण्यासाठी कंपनीच्या किंमती, व्यापार आणि मूल्यांकन अल्गोरिदमला लक्ष्य केले. सामान्य साधनांचा वापर करून, राष्ट्र-राज्य कंपनीच्या पायाभूत सुविधांमध्ये घुसले आणि स्वतःच्या फायद्यासाठी हळूहळू शस्त्रे बनवू लागले.
CrowdStrike च्या 2025 च्या ग्लोबल थ्रेट रिपोर्टनुसार, आर्थिक हल्ल्यांसह जवळपास 80% आधुनिक हल्ले आता मालवेअर-मुक्त आहेत, वैध क्रेडेन्शियल्स, रिमोट मॉनिटरिंग टूल्स आणि तडजोडीच्या वेळेसह (कधीकधी एका मिनिटापेक्षा कमी) प्रशासकीय सुविधांचा गैरफायदा घेणाऱ्या विरोधकांवर अवलंबून आहेत.
सिक्युरिटी ऑपरेशन्स सेंटर (SOC) मधील किंवा सायबरसुरक्षा लीडरशिप टीममध्ये कोणालाही काही चूक झाल्याचा संशय आला नाही. पण हल्ला होत असल्याची अस्पष्ट चिन्हे आहेत.
क्रेडेन्शियल चोरी, व्यावसायिक ईमेल तडजोड आणि शून्य-दिवसाच्या शोषणात वाढणारी वाढ LOTL हल्ल्यांच्या वाढीसाठी योग्य परिस्थिती निर्माण करते. Bitdefender च्या अलीकडील संशोधनात असे आढळून आले की आधुनिक हल्ल्यांपैकी 84% LOTL तंत्रांचा वापर करतात, पारंपारिक शोध प्रणालीला मागे टाकून. अंदाजे 5 पैकी 1 प्रकरणांमध्ये, हल्लेखोर, ऑटोमेशन आणि सरलीकृत टूलकिटच्या मदतीने, हल्ल्याच्या पहिल्या तासात संवेदनशील डेटा लीक करतात.
IBM च्या X-Force 2025 Threat Intelligence Index नुसार, हॅकर्सने मौल्यवान डेटा चोरण्याआधी अनेक आठवडे किंवा महिन्यांपर्यंत प्रगत पर्सिस्टंट धोक्यांसह (APTs) बहुतेक आधुनिक सायबर उल्लंघनांसाठी LOTL-आधारित डावपेचांचा समावेश होतो.
आर्थिक परिणाम धक्कादायक आहेत. CrowdStrike चे 2025 थ्रेट रिसर्च असे सूचित करते की रॅन्समवेअर-संबंधित डाउनटाइमची सरासरी किंमत प्रति घटनेसाठी $1.7 दशलक्ष आहे, जी सार्वजनिक क्षेत्रातील $2.5 दशलक्ष पर्यंत वाढू शकते. उद्योगातील नेत्यांसाठी, जोखीम इतकी जास्त आहेत की सुरक्षा बजेट आता मुख्य नफा केंद्रांना टक्कर देतात.
तुमची सर्वात विश्वासार्ह साधने आक्रमणकर्त्याचे शस्त्रागार आहेत
"ही अशी साधने आहेत जी तुम्ही अक्षम करू शकत नाही कारण तुमचे प्रशासक ते वापरतात, तुमचे ॲप्लिकेशन ते वापरतात, तुमचे कर्मचारी ते वापरतात, परंतु हल्लेखोर देखील त्यांचा वापर करतात." बिटडेफेंडरच्या तांत्रिक उपायांचे संचालक मार्टिन झुजेक यांनी या वर्षाच्या सुरुवातीला RSAC-2025 येथे सांगितले. "तुम्ही ते अक्षम करू शकत नाही कारण ते कामावर परिणाम करेल."
2025 CrowdStrike अहवाल पुष्टी करतो की विरोधक नियमितपणे PowerShell, Windows मॅनेजमेंट टूल्स (WMI), PsExec, रिमोट डेस्कटॉप प्रोटोकॉल (RDP), Microsoft Quick Assist, Certutil, Bitsadmin, MSBuild, आणि संस्थेमध्ये शोध टाळण्यासाठी आणि टिकून राहण्यासाठी अधिक वापरतात. LOTL ट्रेडिंग टूल्स कोणतेही डिजिटल अवशेष सोडत नाहीत, ज्यामुळे प्रगतीपथावर हल्ला शोधणे अत्यंत कठीण होते.
“धमक्या देणारे कलाकार एंडपॉईंट डिटेक्शन आणि रिस्पॉन्स (EDR) एजंट्स अक्षम करण्यासाठी आणि कायदेशीर सिस्टम प्रक्रियेत दुर्भावनापूर्ण क्रियाकलाप लपवण्यासाठी ब्रिंग युवर ओन व्हल्नेरेबल ड्रायव्हर (BYOVD) आणि LOTL सारख्या तंत्रांचा अधिकाधिक शोषण करत आहेत." गार्टनरने नुकत्याच दिलेल्या अहवालात नमूद केले आहे. "PowerShell, MSHTA आणि Certutil सारख्या सामान्य ऑपरेटिंग सिस्टम टूल्सचा फायदा घेऊन, ते शोध प्रक्रिया गुंतागुंतीत करतात आणि EDR अलर्टच्या आवाजात लपवतात."
CrowdStrike च्या रॅन्समवेअर सर्वेक्षणातून असे दिसून आले आहे की 31% रॅन्समवेअर घटना कायदेशीर रिमोट मॉनिटरिंग आणि व्यवस्थापन साधनांच्या गैरवापराने सुरू होतात, हे सिद्ध करते की एंटरप्राइझ आयटी साधने देखील हल्लेखोरांकडून त्वरीत शस्त्र बनवली जात आहेत.
CrowdStrike च्या अहवालात दस्तऐवजीकरण केलेल्या तथ्ये उद्योगाच्या सखोल संशोधनाची पुष्टी करतात: IT स्टॅक स्वतःच आता आक्रमण वेक्टर आहे आणि जे पारंपारिक नियंत्रणे आणि स्वाक्षरी-आधारित शोधांवर अवलंबून असतात ते धोकादायकपणे वक्र मागे आहेत.
वर्तणुकीचे संकेत साध्या दृष्टीक्षेपात लपलेले आहेत
LOTL तंत्रांवर अवलंबून असलेले विरोधक त्यांच्या संयमासाठी कुप्रसिद्ध आहेत.
लक्ष वेधण्यासाठी पूर्वी मालवेअर आणि शोषणाची आवश्यकता असणा-या हल्ल्यांनी एक नवीन आदर्श मार्ग दिला आहे: सुरक्षा कार्यसंघ अवलंबून असलेल्या प्रशासकीय आणि रिमोट व्यवस्थापन साधनांचा वापर करून विरोधक पार्श्वभूमीत समाकलित होतात.
Bitdefender च्या झुजेकने नमूद केल्याप्रमाणे: “आम्ही अनेकदा पाहतो की प्लेबुक आक्रमणकर्ते कृती इतक्या चांगल्या प्रकारे वापरतात की ते त्यांची मोठ्या प्रमाणावर प्रतिकृती बनवतात. ते खंडित होत नाहीत, ते लॉग इन करतात. ते नवीन मालवेअर वापरत नाहीत. ते फक्त नेटवर्कवर आधीपासून असलेली साधने वापरतात.”
झुगेकने LOTL उल्लंघनाचे वर्णन पाठ्यपुस्तक म्हणून केले: कोणतेही मालवेअर नाही, नवीन साधने नाहीत. बिटलॉकर, पॉवरशेल आणि सामान्य प्रशासकीय स्क्रिप्ट; फायली गायब होईपर्यंत आणि कोणीही त्यांचा माग काढू शकले नाही तोपर्यंत सर्व काही नेहमीचे वाटत होते. इथेच आज धमक्या देणारे कलाकार जिंकतात.
विरोधक सामान्यपणाचा वापर क्लृप्तीचे साधन म्हणून करतात. LOTL हल्ले इतक्या लवकर आणि शांतपणे वाढवण्याचे कारण म्हणजे प्रशासकांची अनेक विश्वासार्ह आणि मोठ्या प्रमाणावर वापरलेली साधने. Zugec खूप प्रामाणिक आहे: “नेटवर्कमध्ये प्रवेश करणे आता इतके सोपे कधीच नव्हते.” पूर्वी जे परिमितीचे उल्लंघन होते ते आता परिचिततेचे उल्लंघन आहे, प्राचीन साधनांना अदृश्य आहे आणि नियमित व्यवस्थापनापासून वेगळे आहे.
CrowdStrike चा 2025 ग्लोबल थ्रेट रिपोर्ट या इंद्रियगोचरचे प्रमाण प्रत्येक मंडळासाठी स्वारस्य असलेल्या संख्येमध्ये कॅप्चर करतो. “२०२४ मध्ये, CrowdStrike द्वारे पाहण्यात आलेल्या 79% शोध मालवेअर-मुक्त होत्या (2019 मध्ये 40% वरून लक्षणीय वाढ), असे सुचविते की विरोधक त्याऐवजी हँड्स-ऑन कीबोर्ड तंत्रे वापरत आहेत जे कायदेशीर वापरकर्त्याच्या क्रियाकलापांमध्ये मिसळतात आणि शोधण्यात अडथळा आणतात,” अहवाल लेखकांनी लिहिले. “मालवेअर-मुक्त अटॅक तंत्राकडे हा बदल गेल्या पाच वर्षांत एक परिभाषित ट्रेंड आहे.”"
संशोधकांना अहवालात असेही आढळून आले की यशस्वी हल्ल्यांसाठी प्रवेशाची वेळ कमी होत आहे; सरासरी फक्त 48 मिनिटे आहे आणि सर्वात वेगवान 51 सेकंद आहे.
या नवीन पॅराडाइममध्ये काम करणाऱ्या वकिलांना तुमच्या पतीचा सल्ला स्पष्ट आणि व्यावहारिक आहे. “फक्त कशाचाही पाठलाग करण्याऐवजी, आमच्याकडे असलेल्या या सर्व क्षमतांचा, या सर्व तंत्रज्ञानाचा आम्ही कसा फायदा घेऊ शकतो आणि त्यांना एकत्र काम करण्यास आणि एकमेकांना खायला कसे लावू शकतो ते शोधा.” पहिली पायरी: “तुमच्या हल्ल्याची पृष्ठभाग समजून घेणे. फक्त हल्लेखोर कसे कार्य करतात, ते काय करतात हे जाणून घेणे, पाच आठवड्यांपूर्वी नव्हे, तर आता ही पहिली पायरी असावी.”
हे संघांना त्यांच्या स्वतःच्या वातावरणात सामान्य कसे दिसते हे जाणून घेण्यास प्रवृत्त करते आणि खरोखर काय स्थानाबाहेर आहे हे शोधण्यासाठी त्या आधाररेखा वापरतात, म्हणून बचावकर्ते अंतहीन सूचनांचा पाठलाग करणे थांबवतात आणि जेव्हा ते महत्त्वाचे असते तेव्हाच प्रतिसाद देणे सुरू करतात.
आता तुमच्या तंत्रज्ञान स्टॅकची पूर्ण मालकी घ्या
LOTL हल्ले केवळ विश्वासार्ह साधने आणि पायाभूत सुविधांचेच शोषण करत नाहीत, तर स्पर्धा करण्याची संस्थांची संस्कृती आणि दैनंदिन क्षमतेचाही वापर करतात.
सुरक्षित राहणे म्हणजे सतत दक्ष राहणे हे एक मूलभूत मूल्य बनवणे, ज्याला शून्य विश्वास आणि सांस्कृतिक अँकर म्हणून विभागणीचा पाठिंबा आहे. हे फक्त पहिले टप्पे आहेत. NIST झिरो ट्रस्ट आर्किटेक्चर (SP 800-207) ला LOTL हेड-ऑन हाताळण्यासाठी संस्थात्मक कणा आणि प्लेबुक म्हणून विचारात घ्या:
-
आता सर्व खात्यांवरील विशेषाधिकार प्रतिबंधित करा आणि कंत्राटदारांची जुनी खाती हटवा जी वर्षानुवर्षे वापरली गेली नाहीत: हल्लेखोरांना वाढण्यापासून रोखण्यासाठी सर्व प्रशासक आणि वापरकर्ता खात्यांवर किमान विशेषाधिकार प्रवेश लागू करा.
-
अचूक विभाजन लागू करा: तुमचे नेटवर्क सुरक्षित झोनमध्ये विभाजित करा; हे हल्लेखोरांना बंदिस्त करण्यात, हालचाली मर्यादित करण्यात आणि काही चूक झाल्यास स्फोट त्रिज्या कमी करण्यात मदत करेल.
-
हार्डनच्या टूलमध्ये प्रवेश करा आणि ते कोण वापरते याचे पुनरावलोकन करा: पॉवरशेल, डब्ल्यूएमआय आणि इतर उपयुक्तता प्रतिबंधित करा, निरीक्षण करा आणि लॉग करा. कोड साइनिंग आणि प्रतिबंधित भाषा मोड वापरा आणि विश्वासू कर्मचाऱ्यांना प्रवेश प्रतिबंधित करा.
-
एनआयएसटी झिरो ट्रस्ट तत्त्वे स्वीकारणे: SP 800-207 मध्ये वर्णन केल्याप्रमाणे ओळख, डिव्हाइस स्वच्छता आणि प्रवेश संदर्भाची सतत पडताळणी करा, ॲडॉप्टिव्ह ट्रस्ट डीफॉल्ट बनवून.
-
वर्तणूक विश्लेषण आणि रेकॉर्डिंग केंद्रीकृत करा: घटना वाढण्यापूर्वी सिस्टम टूल्स वापरून असामान्य क्रियाकलापांची तक्रार करण्यासाठी विस्तारित मॉनिटरिंग वापरा.
-
तुमच्याकडे विद्यमान प्लॅटफॉर्म असल्यास ते कमीत कमी किमतीत स्केल आणि प्रदान करू शकत असल्यास अनुकूली शोध लावा: संशयास्पद नमुने शोधण्यासाठी EDR/XDR वापरा, विशेषत: जेव्हा हल्लेखोर पारंपारिक सूचना टाळण्याच्या मार्गाने कायदेशीर साधने वापरत असतात.
-
लाल संघ नियमितपणे: हल्ल्यांचे अनुकरण करून संरक्षणाची प्रभावीपणे चाचणी करा आणि नियमित सुरक्षेशी तडजोड करण्यासाठी विरोधक विश्वसनीय साधनांचा कसा दुरुपयोग करतात ते पहा.
-
सुरक्षा जागरुकता वाढवणे आणि स्नायूंची स्मृती बनवणे: वापरकर्त्यांना आणि प्रशासकांना LOTL तंत्र, सामाजिक अभियांत्रिकी आणि तडजोड शोधणारे सूक्ष्म सिग्नल यांवर प्रशिक्षण द्या.
-
अद्यतन आणि स्टॉक: ऍप्लिकेशन इन्व्हेंटरी ठेवा, ज्ञात भेद्यता पॅच करा आणि वारंवार सुरक्षा ऑडिट करा.
तळ ओळ: या कथेच्या सुरुवातीला संदर्भित वित्तीय सेवा कंपनी अखेरीस LOTL हल्ल्यातून सावरली. आज, त्यांचे मॉडेल, AI विकासासाठी CI/CD प्रक्रिया आणि कृत्रिम सामान्य बुद्धिमत्तेसाठी R&D, यूएस डिपार्टमेंट ऑफ डिफेन्स साइट्स आणि व्हॉल्ट्स बंद करण्याचा दशकांचा अनुभव असलेल्या सायबर सुरक्षा व्यवस्थापकांच्या टीमद्वारे व्यवस्थापित केले जाते.
LOTL हल्ले वास्तविक, वाढणारे आणि प्राणघातक आहेत आणि सायबरसुरक्षामध्ये प्रत्येकाची नवीन मानसिकता आवश्यक आहे.
