रैंसमवेयर वेव में, जो, BSI के अनुसार, दुनिया भर में हजारों सर्वरों को प्रभावित करता है, जिसमें मध्य-तीन अंकों की जर्मन कंपनियां भी शामिल हैं, हमलावर सर्वर फ़ार्म को लक्षित कर रहे हैं - तथाकथित ESXi सर्वर - और इस प्रकार हर IT का दिल परिदृश्य। पुराने और पैच न किए गए VMware ESXi सर्वर जो अभी भी फरवरी 2021 भेद्यता के साथ काम करते हैं, उन पर विशेष रूप से हमला किया गया था।
BSI - संघीय कार्यालय सूचना सुरक्षा के अनुसार, VMware के ESXi वर्चुअलाइजेशन समाधान चलाने वाले हजारों सर्वर रैंसमवेयर से संक्रमित थे और व्यापक वैश्विक हमले में कई एन्क्रिप्ट भी किए गए थे। VMware ESXi सर्वर पर हमलों का क्षेत्रीय फोकस फ़्रांस, संयुक्त राज्य अमेरिका, जर्मनी और कनाडा पर था - अन्य देश भी प्रभावित हुए हैं। अपराधियों ने लंबे समय से ज्ञात भेद्यता का फायदा उठाया। भेद्यता ही - जिसे CVE-2021-21974 के रूप में सूचीबद्ध किया गया है और CVSS के अनुसार 8.8 की गंभीरता के साथ "उच्च" - फरवरी 2021 से निर्माता की ओर से एक पैच दिया गया है।
ईएसएक्सआई सर्वर हमले के बारे में ट्रेंड माइक्रो यही कहता है
🔎 ट्रेंड माइक्रो: रिचर्ड वर्नर, बिजनेस कंसल्टेंट (इमेज: ट्रेंड माइक्रो)।
"हम बार-बार देखते हैं कि कंपनियां ऐसी तृतीय-पक्ष समस्याओं के लिए तैयार नहीं हैं। Microsoft के लिए एक नियमित पैच प्रक्रिया है, लेकिन इस मामले में VMware जैसे तृतीय-पक्ष निर्माताओं के लिए नहीं। क्योंकि पैच की संख्या इसके लिए एक अलग प्रक्रिया बनाने को सही नहीं ठहराती है। इसके अतिरिक्त, कंपनियां केवल एक पैच स्थापित करने के लिए अपने सर्वर फार्म को बंद नहीं करती हैं। हमलावर अपने पीड़ितों के सामने आने वाली कठिनाइयों से अवगत होते हैं और इसलिए अक्सर उन कमजोरियों का फायदा उठाते हैं जो Microsoft तकनीक पर आधारित नहीं होती हैं।
ESXi भेद्यता पहले ही अक्टूबर 2020 में VMware को रिपोर्ट कर दी गई थी
वास्तव में, हमलावरों द्वारा उपयोग की जाने वाली कमजोरियों का केवल 30 प्रतिशत तकनीकी दिग्गज के सॉफ्टवेयर पर निर्भर करता है। हैकर्स के लिए पैच न किए गए सॉफ़्टवेयर कमजोरियों का सक्रिय रूप से शोषण करना असामान्य नहीं है। ट्रेंड माइक्रो के शोध के अनुसार, दुनिया भर में लगभग 86 प्रतिशत कंपनियों में इस तरह के अंतराल हैं। ट्रेंड माइक्रो के ज़ीरो डे इनिशिएटिव ने अक्टूबर 2021 में VMware को CVE-21974-8.8 के रूप में पहचानी गई और 2020 की गंभीरता के साथ CVSS द्वारा "उच्च" रेटेड भेद्यता की सूचना दी और फिर संयुक्त रूप से भेद्यता (जिम्मेदार प्रकटीकरण) का एक जिम्मेदार प्रकटीकरण प्रकाशित किया। रिचर्ड वर्नर, बिजनेस कंसल्टेंट at ट्रेंड माइक्रो.
ESXi सर्वर हमले के बारे में चेक प्वाइंट यही कहता है
"पिछले कुछ दिनों में हुई आउटेज को इस रैंसमवेयर हमले से ठीक से पता लगाया जा सकता है, जो न केवल फ्रांस और इटली जैसे यूरोपीय देशों में बल्कि दुनिया भर में एक बढ़ता खतरा है। पिछले साल के जुलाई में वापस, चेक प्वाइंट रिसर्च के थ्रेटक्लाउड ने वैश्विक स्तर पर रैंसमवेयर में 59 प्रतिशत की साल-दर-साल वृद्धि दर्ज की। इस वृद्धि और कल रिपोर्ट किए गए हमले के साथ, यह दोहराना उचित होगा कि साइबर खतरों को रोकना व्यवसायों और संगठनों के लिए सर्वोच्च प्राथमिकता होनी चाहिए।
यहां तक कि गैर-विंडोज मशीनें भी अब जोखिम में हैं
ESXi सर्वर पर हुए इस बड़े हमले को गैर-विंडोज मशीनों पर रिपोर्ट किए गए अब तक के सबसे बड़े साइबर हमलों में से एक माना जाता है। जो बात स्थिति को और भी चिंताजनक बनाती है, वह यह है कि हाल तक रैंसमवेयर हमले विंडोज-आधारित मशीनों तक ही सीमित थे। हमलावरों ने पहचान लिया है कि संस्थानों और संगठनों की प्रणालियों के लिए लिनक्स सर्वर कितने महत्वपूर्ण हैं," लोथर ग्यूएनिच, वीपी मध्य यूरोप / DACH कहते हैं चेक पॉईंट सॉफ़्टवेयर टेक्नोलॉजीज़.
ESXi सर्वर हमले के बारे में बाराकुडा यही कहता है
🔎 बाराकुडा नेटवर्क: स्टीफन वैन डेर वाल, कंसल्टिंग सॉल्यूशंस इंजीनियर, ईएमईए, एप्लीकेशन सिक्योरिटी (छवि: बाराकुडा नेटवर्क)।
“यूरोप और अन्य जगहों पर अप्रकाशित VMware ESXi सिस्टम पर बड़े पैमाने पर रैंसमवेयर के हमलों की सूचना 2021 में पैच की गई भेद्यता का फायदा उठाती है। इससे पता चलता है कि महत्वपूर्ण सॉफ्टवेयर इंफ्रास्ट्रक्चर सिस्टम को बिल्कुल समय पर अपडेट करना कितना महत्वपूर्ण है। कंपनियों के लिए सॉफ्टवेयर अपडेट करना हमेशा आसान नहीं होता है। इस पैच के मामले में, उदाहरण के लिए, कंपनियों को अपने आईटी बुनियादी ढांचे के महत्वपूर्ण हिस्सों को अस्थायी रूप से निष्क्रिय करना पड़ता है। लेकिन संभावित दुर्भावनापूर्ण हमले की चपेट में आने से बेहतर है कि इसे सहन किया जाए।
ESXi का उपयोग करने वाले संगठनों को तुरंत नवीनतम संस्करण में अपडेट करना चाहिए
वर्चुअल इन्फ्रास्ट्रक्चर को सुरक्षित करना महत्वपूर्ण है। रैनसमवेयर के लिए वर्चुअल मशीनें एक आकर्षक लक्ष्य हो सकती हैं क्योंकि वे अक्सर व्यवसाय-संवेदनशील सेवाएं या कार्य करती हैं - और एक सफल हमला व्यापक व्यवधान पैदा कर सकता है। यह सुनिश्चित करना विशेष रूप से महत्वपूर्ण है कि वर्चुअल मशीन के प्रबंधन कंसोल तक पहुंच सुरक्षित है और उदाहरण के लिए, कॉर्पोरेट नेटवर्क पर एक समझौता किए गए खाते के माध्यम से एक्सेस नहीं किया जा सकता है, "स्टीफन वैन डेर वाल, कंसल्टिंग सॉल्यूशंस इंजीनियर, ईएमईए, एप्लीकेशन सिक्योरिटी ने कहा। बाराकुडा नेटवर्क.
ईएसएक्सआई सर्वर हमले के बारे में आर्टिक वुल्फ यही कहता है
रैंसमवेयर के सफल हमलों में कमी आने की रिपोर्ट के बावजूद, यूरोप और उत्तरी अमेरिका में सर्वरों पर वैश्विक हमले से पता चलता है कि रैंसमवेयर अभी भी दुनिया भर के व्यवसायों और संगठनों के लिए एक वास्तविक खतरा है। VMWare में भेद्यता का फायदा उठाकर, अपराधी एक प्रमुख आपूर्तिकर्ता पर हमला करने में सक्षम थे जो कई उद्योगों और यहां तक कि देशों को आपूर्ति करता है। इसलिए यह मान लेना सुरक्षित है कि यह हमला आने वाले कुछ समय तक हजारों लोगों के लिए व्यापक व्यवधान पैदा करता रहेगा।
व्यवसायों को वर्तमान सुरक्षा मुद्रा की लगातार समीक्षा करनी चाहिए
“2022 की पहली छमाही में, आधे से अधिक सुरक्षा घटनाएं बाहरी कमजोरियों का फायदा उठाने के कारण हुईं। एक प्रवृत्ति जिसे देखा जा सकता है: खतरे के कारक तेजी से सभी आकारों के संगठनों को लक्षित कर रहे हैं - विशेष रूप से ज्ञात कमजोरियों के माध्यम से। इसलिए, संगठनों के लिए यह पहले से कहीं अधिक महत्वपूर्ण है कि वे अपनी साइबर सुरक्षा की बुनियादी बातों को ठीक करें, उदा. बी लगातार और नियमित पैचिंग के माध्यम से।
इसका मतलब है विशेषज्ञों के साथ सही तकनीक की पहचान करने के लिए काम करना, कर्मचारियों को सही तरीके से इस्तेमाल करने का प्रशिक्षण देना और मौजूदा सुरक्षा स्थिति की लगातार समीक्षा करना। इस तरह, वे यह सुनिश्चित कर सकते हैं कि वे नए खतरों पर प्रतिक्रिया करने और सर्वोत्तम संभव तरीके से खुद को बचाने के लिए सर्वोत्तम संभव स्थिति में हैं। इसके अलावा, कुछ प्रणालियों के खराब होने की स्थिति में, संगठनों को संचालन जारी रखने की अनुमति देने के लिए आकस्मिक योजनाएँ महत्वपूर्ण हैं, ”डैन शियप्पा, मुख्य उत्पाद अधिकारी ने कहा आर्कटिक भेड़िया.
ESXi सर्वर हमले के बारे में तहट्रिस यही कहता है
TEHTRIS ने ESXiArgs रैंसमवेयर हमले का विश्लेषण प्रकाशित किया है जो सप्ताहांत में ज्ञात हुआ। सुरक्षा विशेषज्ञ इस निष्कर्ष पर पहुंचे कि हमले वास्तविक हमले से पहले कई गतिविधियों से पहले हुए थे। अपनी जांच के लिए, सुरक्षा शोधकर्ताओं ने विशेष रूप से पोर्ट 427 से संबंधित गतिविधियों का विश्लेषण किया, जो कि वर्तमान हमलों में बहुत महत्वपूर्ण है।
ESXiArgs रैंसमवेयर: सिर्फ वीकेंड से ही अटैक नहीं करता
🔎 ESXi सर्वर पर पोर्ट 427 के आसपास टेहट्रिस द्वारा पंजीकृत गतिविधियां (इमेज: टेहट्रिस)।
ESXiArgs साइबर अभियान को यह नाम मिला क्योंकि यह प्रत्येक एन्क्रिप्टेड दस्तावेज़ के लिए एक .args फ़ाइल बनाता है। हनीपोट्स के अपने विश्वव्यापी नेटवर्क के लिए धन्यवाद, तहट्रिस यह निर्धारित करने में सक्षम था कि सप्ताह के अंत में ज्ञात होने वाला हमला कुछ दिनों पहले ही शुरू नहीं हुआ था। 1 जनवरी, 2023 से टेहट्रिस के डेटा के आधार पर नीचे दी गई टाइमलाइन से पता चलता है कि 10 और 24 जनवरी की शुरुआत में पोर्ट 427 पर हमलों में बढ़ोतरी हुई थी। ये गतिविधियां फिर फरवरी की शुरुआत में फिर से शुरू हुईं।
कि कुछ दुर्भावनापूर्ण आईपी जिन्हें तहट्रिस अपने हनीपोट नेटवर्क में इस संदर्भ में निगरानी कर रहा है, 3 फरवरी से पहले रडार के नीचे रहने की कोशिश की। जबकि वे केवल एक कॉल करके बहुत समझदार थे, वे बड़ी संख्या में हनीपोट्स तक पहुंच गए। ग्लोबल हनीपोट पैनल को देखने से पता चलता है कि पोर्ट 427 पर आने वाले ज्यादातर हमले अमेरिका के पूर्वी हिस्से, एशिया-प्रशांत के पूर्वोत्तर हिस्से और पश्चिमी यूरोप को लक्षित करते हैं और व्यावहारिक रूप से समान स्तर पर होते हैं। आगे की जाँच के परिणाम जिनमें उन आईपी पतों का विश्लेषण शामिल है जिनसे हमले की उत्पत्ति हुई है, पाया जा सकता है तहट्रिस के नवीनतम ब्लॉग पोस्ट में.