Tech News

माइक्रोसॉफ्ट एक्सचेंज हमले के तहत लॉकफाइल रैंसमवेयर सर्वरों को लक्षित करता है – टाइम्स ऑफ इंडिया

August 23, 2021
Bharat Times

सुरक्षा शोधकर्ताओं ने एक नए रैंसमवेयर परिवार की खोज करने का दावा किया है जिसे कहा जाता है लॉकफाइल यह वही लगता है जो पहले हमला करने के लिए इस्तेमाल किया गया था माइक्रोसॉफ्ट केंद्र अमेरिका और एशिया में सर्वर। के अनुसार सिमेंटेक, पहले के अनदेखे रैंसमवेयर ने चल रहे अभियान में कम से कम 10 कंपनियों को प्रभावित किया है। ये लक्ष्य उद्योगों में हैं।
लॉकफाइल रैंसमवेयर को पहली बार 20 जुलाई, 2021 को एक अमेरिकी वित्तीय संगठन के नेटवर्क पर देखा गया था, इसकी नवीनतम गतिविधि को हाल ही में 20 अगस्त के रूप में देखा गया था।
नया हमला कैसे काम करता है
सिमेंटेक के अनुसार, ऐसे संकेत हैं कि हमलावर माइक्रोसॉफ्ट एक्सचेंज सर्वर के माध्यम से पीड़ितों के नेटवर्क तक पहुंच प्राप्त करते हैं, और फिर अपूर्ण पैच का उपयोग करते हैं। पेटिटपोटाम डोमेन नियंत्रक तक पहुँच प्राप्त करने के लिए भेद्यता, और फिर पूरे नेटवर्क में फैल गई। यह अब तक स्पष्ट नहीं है कि कैसे हमलावर माइक्रोसॉफ्ट एक्सचेंज सर्वर तक प्रारंभिक पहुंच प्राप्त करते हैं। यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) के अनुसार, “दुर्भावनापूर्ण साइबर अभिनेता सक्रिय रूप से निम्नलिखित का शोषण कर रहे हैं: प्रॉक्सीशैल भेद्यताएँ: CVE-2021-34473, CVE-2021-34523, और CVE-2021-31207। इन कमजोरियों का फायदा उठाने वाला एक हमलावर एक कमजोर मशीन पर मनमाना कोड निष्पादित कर सकता है। सीआईएसए संगठनों से आग्रह करता है कि वे अपने नेटवर्क पर कमजोर प्रणालियों की पहचान करें और इन हमलों से बचाने के लिए मई 2021 से माइक्रोसॉफ्ट के सुरक्षा अपडेट को तुरंत लागू करें- जो प्रॉक्सीशेल की सभी तीन कमजोरियों को दूर करता है।”
इस रैंसमवेयर के पीछे हमलावरों के बारे में कहा जाता है कि वे लॉकबिट रैंसमवेयर गिरोह द्वारा उपयोग किए गए समान डिजाइन के साथ फिरौती नोट का उपयोग करते हैं और उनके द्वारा उपयोग किए जाने वाले ईमेल पते में कॉन्टी गिरोह का संदर्भ देते हैं, contact@contipauper.com।
रिपोर्ट के अनुसार, आमतौर पर रैंसमवेयर को तैनात करने से लगभग 20 से 30 मिनट पहले, हमलावर समझौता किए गए एक्सचेंज सर्वर पर उपकरणों का एक सेट स्थापित करते हैं। इसमे शामिल है:
* CVE-2021-36942 भेद्यता (उर्फ पेटिटपोटम) के लिए एक शोषण। ऐसा लगता है कि कोड https://github.com/zcgonvh/EfsPotato से कॉपी किया गया है। यह “efspotato.exe” नामक फ़ाइल में है।
* दो फ़ाइलें: active_desktop_render.dll और active_desktop_launcher.exe
हालाँकि, एन्क्रिप्टेड शेलकोड, efspotato.exe फ़ाइल को सक्रिय करता है जो पेटिटपोटम भेद्यता का शोषण करती है। इसे Microsoft के अगस्त पैच मंगलवार रिलीज़ में पैच किया गया था, लेकिन बाद में यह सामने आया कि कथित तौर पर जारी फिक्स ने भेद्यता को पूरी तरह से पैच नहीं किया।
जिन कंपनियों पर हमला हुआ उनमें विनिर्माण, वित्तीय सेवाएं, इंजीनियरिंग, कानूनी, व्यावसायिक सेवाएं और यात्रा और पर्यटन क्षेत्र शामिल हैं।

.

Leave a Reply