माइक्रोसॉफ्ट एक्सचेंज सर्वर के पुराने संस्करणों का उपयोग करने वाली कंपनियों को हाइव द्वारा समन्वित एक नए रैंसमवेयर हमले के माध्यम से जबरन वसूली की जा रही है।
हर दूसरे दिन, ऐसा लगता है कि किसी न किसी के बारे में कोई न कोई खबर आ रही है Microsoft उत्पाद पर प्रमुख सुरक्षा समस्या, और आज, ऐसा लगता है जैसे माइक्रोसॉफ्ट का एक्सचेंज सर्वर दूसरे के केंद्र में है। माइक्रोसॉफ्ट एक्सचेंज सर्वर ग्राहकों को हाइव द्वारा किए गए रैंसमवेयर हमलों की एक लहर द्वारा लक्षित किया जा रहा है, एक प्रसिद्ध रैंसमवेयर-ए-ए-सर्विस (RaaS) प्लेटफ़ॉर्म जो व्यवसायों और सभी प्रकार के संगठनों को लक्षित करता है।
यह हमला माइक्रोसॉफ्ट एक्सचेंज सर्वर में प्रॉक्सीशेल नामक कमजोरियों के एक सेट का लाभ उठाता है। यह एक महत्वपूर्ण रिमोट कोड निष्पादन भेद्यता है जो हमलावरों को प्रभावित सिस्टम पर दूरस्थ रूप से कोड चलाने की अनुमति देता है। जबकि ProxyShell छतरी के नीचे की तीन कमजोरियों को मई 2021 तक ठीक कर लिया गया था, यह सर्वविदित है कि कई व्यवसाय अपने सॉफ़्टवेयर को उतनी बार अपडेट नहीं करते हैं जितनी बार उन्हें करना चाहिए। इस प्रकार, विभिन्न ग्राहक प्रभावित हो रहे हैं, जिनमें वेरोनिस फोरेंसिक टीम से बात करने वाला व्यक्ति भी शामिल है, जिसने सबसे पहले इन हमलों की सूचना दी थी।
एक बार ProxyShell कमजोरियों का फायदा उठाने के बाद, हमलावर लक्षित एक्सचेंज सर्वर पर एक सार्वजनिक निर्देशिका पर एक पिछले दरवाजे की वेब स्क्रिप्ट लगाते हैं। यह स्क्रिप्ट तब वांछित दुर्भावनापूर्ण कोड चलाती है, जो फिर एक कमांड और नियंत्रण सर्वर से अतिरिक्त स्टेजर फ़ाइलें डाउनलोड करती है और उन्हें निष्पादित करती है। इसके बाद हमलावर एक नया सिस्टम एडमिनिस्ट्रेटर बनाते हैं और एनटीएलएम हैश चुराने के लिए मिमिकात्ज़ का उपयोग करते हैं, जो उन्हें पास-द-हैश के माध्यम से किसी के पासवर्ड को जाने बिना सिस्टम का नियंत्रण लेने की अनुमति देता है तकनीक.
सब कुछ ठीक होने पर, गलत इरादे वाले कलाकार संवेदनशील और संभावित रूप से महत्वपूर्ण फ़ाइलों के लिए पूरे नेटवर्क को स्कैन करना शुरू कर देते हैं। अंत में, एक कस्टम पेलोड - एक फ़ाइल जिसे भ्रामक रूप से Windows.exe कहा जाता है - सभी को एन्क्रिप्ट करने के लिए बनाई और तैनात की जाती है डेटा, साथ ही ईवेंट लॉग साफ़ करें, छाया प्रतियां हटाएं, और अन्य सुरक्षा समाधान अक्षम करें ताकि यह बना रहे पता नहीं चला. एक बार जब सारा डेटा एन्क्रिप्ट हो जाता है, तो पेलोड उपयोगकर्ताओं को एक चेतावनी प्रदर्शित करता है और उनसे अपना डेटा वापस पाने और इसे सुरक्षित रखने के लिए भुगतान करने का आग्रह करता है।
हाइव के संचालन का तरीका यह है कि यह केवल डेटा को एन्क्रिप्ट नहीं करता है और उसे वापस देने के लिए फिरौती नहीं मांगता है। समूह टोर ब्राउज़र के माध्यम से पहुंच योग्य एक वेबसाइट भी संचालित करता है, जहां कंपनियों के संवेदनशील डेटा को साझा किया जा सकता है यदि वे भुगतान करने के लिए सहमत नहीं हैं। इससे उन पीड़ितों के लिए अतिरिक्त तात्कालिकता पैदा होती है जो चाहते हैं कि महत्वपूर्ण डेटा गोपनीय रहे।
वरोनिस फोरेंसिक टीम की रिपोर्ट के अनुसार, प्रारंभिक शोषण में 72 घंटे से कम समय लगा हमलावरों के लिए Microsoft एक्सचेंज सर्वर की भेद्यता अंततः एक विशेष रूप से उनके वांछित लक्ष्य तक पहुंच रही है मामला।
यदि आपका संगठन Microsoft एक्सचेंज सर्वर पर निर्भर है, तो आप यह सुनिश्चित करना चाहेंगे कि रैंसमवेयर हमलों की इस लहर से सुरक्षित रहने के लिए आपके पास नवीनतम पैच स्थापित हों। आम तौर पर कमजोरियों को ध्यान में रखते हुए यथासंभव अद्यतित रहना एक अच्छा विचार है पैच जारी होने के बाद इसका खुलासा हुआ, जिससे पुराने सिस्टम को हमलावरों के लिए खुला छोड़ दिया गया लक्ष्य।
स्रोत: वरोनीस
के जरिए: ZDNet