कॉर्पोरेट फ्रेंचाइजी मॉडल ने कैसे रैंसमवेयर को एक अरब डॉलर की काली अर्थव्यवस्था में बदल दिया

रैंसमवेयर, जो कभी अकेले हैकर्स द्वारा इस्तेमाल की जाने वाली एक छोटी-मोटी परेशानी थी, अब एक बेहद संगठित बिजनेस मॉडल में बदल गया है। इसमें ह्यूमन रिसोर्स, यूजर मैनुअल और कस्टमर सर्विस डिपार्टमेंट भी होते हैं। जबरन वसूली के इस कॉर्पोरेटीकरण को 'रैंसमवेयर-एज-ए-सर्विस' के नाम से जाना जाता है। इस विकास ने दुनिया भर में डिजिटल खतरे के परिदृश्य को पूरी तरह से बदल दिया है। अब, माहिर डेवलपर्स खुद से मैलवेयर बनाने के बजाय, अपने sofisticated कोड को कम तकनीकी ज्ञान वाले अपराधियों, जिन्हें 'एफिलिएट्स' कहा जाता है, को किराए पर देते हैं। इसके बदले में वे मुनाफे में हिस्सेदारी लेते हैं। यह एक कमर्शियल फ्रेंचाइजी का डिजिटल रूप है, जहां मूल कंपनी ब्रांडिंग और टूल मुहैया कराती है, और स्थानीय ऑपरेटर असल काम को अंजाम देते हैं।

इस काली इंडस्ट्री का पैमाना चौंकाने वाला है, जिसके पीछे ठोस आंकड़े हैं जो एक तेजी से बढ़ती अवैध अर्थव्यवस्था को दिखाते हैं। ब्लॉकचेन एनालिसिस फर्म चेनएनालिसिस (Chainalysis) के शोधकर्ताओं ने डिजिटल जबरन वसूली की एक व्यापक समीक्षा में पाया कि 2023 में दुनियाभर में रैंसमवेयर से की गई वसूली एक अरब डॉलर को पार कर गई। यह एक भयावह ऐतिहासिक रिकॉर्ड है। आईबीएम सिक्योरिटी एक्स-फोर्स (IBM Security X-Force) जैसी संस्थाओं की खुफिया रिपोर्टों ने बार-बार दिखाया है कि आधुनिक रैंसमवेयर की अधिकांश घटनाओं के लिए यह फ्रेंचाइजी मॉडल ही जिम्मेदार है। ये डिजिटल सिंडिकेट अपने पीड़ितों को फिरौती चुकाने के लिए जरूरी क्रिप्टोकरेंसी खरीदने में मदद करने के लिए चौबीसों घंटे चलने वाले हेल्प डेस्क भी चलाते हैं। वे यह सुनिश्चित करते हैं कि लेन-देन उतनी ही आसानी से हो जाए, जितनी आसानी से कोई असली ऑनलाइन रिटेल खरीद होती है।

अकेले हैकिंग से संगठित डिजिटल अपराध की ओर इस बदलाव की जड़ें बुनियादी आर्थिक वजहों और तकनीकी प्रगति में हैं। बहुत पेचीदा और पकड़ में न आने वाला मैलवेयर बनाने के लिए सालों की विशेष तकनीकी ट्रेनिंग की जरूरत होती है। इस वजह से ऐसे लोग सीमित हैं जो इस तरह के हमले कर सकते हैं। 'सॉफ्टवेयर-एज-ए-सर्विस' मॉडल अपनाकर, माहिर हैकर्स ने महसूस किया कि वे अपने काम को असीमित रूप से बढ़ा सकते हैं। साथ ही, वे हमले को अंजाम देने और मोलभाव करने के भारी जोखिम को तीसरे पक्ष के एफिलिएट्स पर डाल सकते हैं। काम का यह बंटवारा वैध कॉर्पोरेट आउटसोर्सिंग जैसा है, जिससे डेवलपर्स केवल न टूटने वाले एन्क्रिप्शन एल्गोरिदम बनाने पर ध्यान केंद्रित कर पाते हैं, जबकि उनके एफिलिएट्स कमजोर टारगेट खोजने का मुश्किल काम संभालते हैं।

इसके अलावा, विकेंद्रीकृत क्रिप्टोकरेंसी (decentralized cryptocurrencies) के उदय ने एक वैश्विक अवैध बाजार को बनाए रखने के लिए एकदम सही और काफी हद तक ट्रेस न की जा सकने वाली पेमेंट व्यवस्था प्रदान की। पारंपरिक बैंकिंग सिस्टम की निगरानी से बचकर, सीमाओं के पार तुरंत लाखों डॉलर ले जाने की क्षमता के बिना, 'रैंसमवेयर-एज-ए-सर्विस' मॉडल अपने ही बोझ तले ढह जाएगा। डार्क वेब ने इन सॉफ्टवेयर लेन-देन के लिए एक गुमनाम बाज़ार प्रदान किया। लेकिन यह ऊंचे वित्तीय इनाम और न्यूनतम तकनीकी जानकारी की जरूरत का वादा था, जिसने अनगिनत नए और कम कुशल ऑपरेटर्स को इस धंधे में खींच लिया।

डिजिटल तबाही को आम बना देने के नतीजे सार्वजनिक जीवन के लिए बहुत अस्थिर करने वाले रहे हैं। चूंकि इस काम में आना बहुत आसान है, इसलिए हमलों की संख्या में भारी वृद्धि हुई है। अब हमले केवल अमीर वित्तीय संस्थानों तक सीमित नहीं हैं, जो पारंपरिक रूप से माहिर हैकर्स का निशाना हुआ करते थे। हाल के वर्षों में, सरकारी स्कूल, ग्रामीण अस्पताल और स्थानीय नगर पालिकाएं किराये के सॉफ्टवेयर का इस्तेमाल करने वाले नौसिखिया हैकर्स के कारण पूरी तरह से पंगु हो गए हैं। इसका असर बहुत वास्तविक और तत्काल होता है, जो कुछ ही घंटों में समुदायों को जरूरी सार्वजनिक सेवाओं से वंचित कर देता है।

2021 में, जब एक बड़े साइबर सिंडिकेट ने संयुक्त राज्य अमेरिका में कोलोनियल पाइपलाइन (Colonial Pipeline) के कॉर्पोरेट नेटवर्क को सफलतापूर्वक हैक कर लिया था, जिससे ईस्ट कोस्ट को होने वाली लगभग आधी ईंधन आपूर्ति रुक गई थी, तो कथित तौर पर हमलावर मैलवेयर बनाने वाले मुख्य डेवलपर्स नहीं, बल्कि एफिलिएट्स थे। जब महत्वपूर्ण बुनियादी ढांचे को छोटे-मोटे अपराधी जल्दी पैसा कमाने के लिए ठप कर देते हैं, तो इसका नुकसान अस्थायी वित्तीय घाटे से कहीं आगे बढ़कर सार्वजनिक स्वास्थ्य और सुरक्षा के लिए खतरा बन जाता है। मरीजों की जरूरी सर्जरी में देरी हुई है, आपातकालीन डिस्पैच सिस्टम ऑफलाइन हो गए हैं, और पूरी वैश्विक सप्लाई चेन हिल गई है। यह सब इसलिए हुआ क्योंकि सैन्य-स्तर के डिजिटल हथियार अब किसी भी ऐसे व्यक्ति के लिए उपलब्ध हैं जो मासिक सब्सक्रिप्शन फीस देने को तैयार है।

एक ऐसे दुश्मन से निपटने के लिए जो एक मल्टीनेशनल कॉर्पोरेशन की तरह काम करता है, यह जरूरी है कि संगठन और सरकारें डिजिटल सुरक्षा के प्रति अपने दृष्टिकोण में एक बुनियादी बदलाव लाएं। सुरक्षा विशेषज्ञ लंबे समय से यह मानते हैं कि पारंपरिक सुरक्षा के तरीके, जैसे सामान्य फायरवॉल और पुराने एंटीवायरस प्रोग्राम, लगातार विकसित हो रहे फ्रेंचाइजी मैलवेयर के खिलाफ पूरी तरह से अपर्याप्त हैं। इसके बजाय, संगठनों को 'जीरो-ट्रस्ट' आर्किटेक्चर अपनाना चाहिए। यह एक व्यापक सुरक्षा ढांचा है जो यह मानकर चलता है कि नेटवर्क हमेशा स्वाभाविक रूप से असुरक्षित होता है और हर यूजर और डिवाइस के लिए लगातार और कठोर जांच की आवश्यकता होती है।

सबसे महत्वपूर्ण बात यह है कि इस औद्योगिक पैमाने के साइबर अपराध का मुकाबला करने के लिए उस वित्तीय स्रोत को बंद करना होगा जो इस धंधे को इतना आकर्षक बनाता है। कानून प्रवर्तन एजेंसियों और अंतरराष्ट्रीय वित्तीय नियामकों को उन क्रिप्टोकरेंसी एक्सचेंज और मिक्सिंग सेवाओं को आक्रामक रूप से निशाना बनाना चाहिए, जिनका उपयोग अपराधी फिरौती के पैसे को वैध बनाने (launder) के लिए करते हैं। सुरक्षा विशेषज्ञों का तर्क है कि जब तक दुनिया भर की सरकारें फिरौती चुकाने पर सख्त रिपोर्टिंग आवश्यकताओं और कठोर दंड लागू नहीं करतीं, तब तक इन हमलों से होने वाला भारी मुनाफा इस काली अर्थव्यवस्था को आगे बढ़ाता रहेगा। अब सिर्फ सॉफ्टवेयर को रोकना काफी नहीं है; रक्षकों को बिजनेस मॉडल को ही बाधित करना होगा।

अंत में, आधुनिक साइबर अपराध के खिलाफ लड़ाई अब केवल सॉफ्टवेयर इंजीनियरों के बीच तकनीकी हथियारों की होड़ नहीं रह गई है। यह एक गहरी जड़ें जमा चुके, बेहद संगठित बिजनेस मॉडल के खिलाफ एक आर्थिक लड़ाई है, जो वैश्विक कनेक्टिविटी और वित्तीय गुमनामी पर फलता-फूलता है। जब तक रैंसमवेयर फैलाना एक सस्ता और कम जोखिम वाला फ्रेंचाइजी का मौका बना रहेगा, तब तक डिजिटल इकोसिस्टम लगातार घेराबंदी में रहेगा। इस कॉर्पोरेट किस्म की जबरन वसूली को हराने के लिए उन वित्तीय वजहों को खत्म करना होगा जो इसे ताकत देती हैं। इस काली इंडस्ट्री को यह साबित करना होगा कि इस धंधे को करने की लागत अब बहुत ज़्यादा हो चुकी है।