पेपरकट कमजोरियों को पैच किया गया
पेपरकट, एक लोकप्रिय प्रिंट प्रबंधन सॉफ्टवेयर समाधान है, जिसने हाल ही में दो महत्वपूर्ण कमजोरियों का सामना किया है जिसका रैंसमवेयर गिरोह सक्रिय रूप से शोषण करते हैं। इन कमजोरियों को अब कंपनी द्वारा संभावित जोखिमों को खत्म करने के लिए पैच किया गया है।
विषयसूची
CVE-2023-27350: अप्रमाणित रिमोट कोड निष्पादन दोष
इस भेद्यता का CVSS v3.1 स्कोर 9.8 है, जो एक महत्वपूर्ण जोखिम स्तर को दर्शाता है। अप्रमाणित रिमोट कोड निष्पादन दोष ने हमलावरों को किसी भी प्रकार के प्रमाणीकरण के बिना कमजोर सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति दी, जिससे उन्हें संवेदनशील डेटा तक अप्रतिबंधित पहुंच और नेटवर्क से समझौता करने की क्षमता मिली। इस भेद्यता की गंभीरता के लिए और चिंताएं जोड़ना यह तथ्य है कि अवधारणा कोड का प्रमाण जारी किया गया था, जो इस दोष का आसानी से फायदा उठाने के लिए अधिक साइबर अपराधियों के लिए एक दिशानिर्देश प्रदान करता है।
CVE-2023-27351: अप्रमाणित सूचना प्रकटीकरण दोष
दूसरी भेद्यता, CVE-2023-27351, का CVSS v3.1 स्कोर 8.2 है, जिसे उच्च जोखिम माना जाता है। इस दोष ने अप्रमाणित जानकारी के प्रकटीकरण की अनुमति दी, जिसका अर्थ है कि हमलावर संवेदनशील डेटा तक वैध क्रेडेंशियल्स की आवश्यकता के बिना पहुंच सकते हैं। इस भेद्यता का फायदा उठाने से साइबर अपराधियों को मूल्यवान जानकारी हासिल करने और संभावित रूप से अधिक सटीक लक्षित हमलों के लिए इसका उपयोग करने में मदद मिलेगी। जबकि रिमोट कोड निष्पादन दोष जितना महत्वपूर्ण नहीं है, यह भेद्यता अभी भी उपयोगकर्ताओं की सुरक्षा और गोपनीयता के लिए काफी खतरा है।
अवधारणा कोड का प्रमाण जारी किया गया
जनता के लिए उपलब्ध कराई गई अवधारणा (पीओसी) कोड का सबूत इन कमजोरियों से जुड़े जोखिमों को बढ़ाता है। इस PoC कोड ने व्यापक तकनीकी ज्ञान के बिना भी इन खामियों का फायदा उठाने के लिए संभावित हमलावरों के लिए एक रोडमैप प्रदान किया। PoC कोड जारी करना एक दोधारी तलवार है; जबकि यह सुरक्षा खामियों के बारे में जागरूकता फैलाने में सहायता करता है और सुरक्षा शोधकर्ताओं को पैच विकसित करने में मदद करता है, यह हमलावरों को हमले करने के लिए ब्लूप्रिंट भी प्रदान करता है। इन भेद्यताओं के लिए जारी किए गए पैच पेपरकट उपयोगकर्ताओं और उनके नेटवर्क की सुरक्षा सुनिश्चित करने के लिए महत्वपूर्ण हैं।
दुर्भावनापूर्ण अभिनेता पेपरकट की कमजोरियों का फायदा उठा रहे हैं
जैसे ही पेपरकट कमजोरियों के बारे में पता चला, विभिन्न रैंसमवेयर गिरोहों ने तेजी से उनका सक्रिय रूप से शोषण करना शुरू कर दिया। इन दुर्भावनापूर्ण अभिनेताओं में लेस टेम्पेस्ट और लॉकबिट रैंसमवेयर उपभेद थे, दोनों नेटवर्क में घुसपैठ करने और अपने रैंसमवेयर पेलोड को तैनात करने के लिए कमजोर पेपरकट सर्वर को लक्षित करते थे।
लेस टेम्पेस्ट (क्लॉप रैंसमवेयर संबद्ध) कमजोर सर्वरों को लक्षित करता है
लेस टेम्पेस्ट, जाने-माने क्लॉप रैंसमवेयर समूह का एक सहयोगी, पेपरकट कमजोरियों का फायदा उठाने वाले पहले दुर्भावनापूर्ण अभिनेताओं में से एक था। अप्रमाणित रिमोट कोड निष्पादन और सूचना प्रकटीकरण दोषों का उपयोग करके, लेस टेम्पेस्ट संवेदनशील डेटा और नेटवर्क तक अप्रतिबंधित पहुंच प्राप्त करते हुए, कमजोर सर्वरों से समझौता करने में कामयाब रहा। एक बार इन समझौता प्रणालियों के अंदर, लेस टेम्पेस्ट ने क्लॉप रैंसमवेयर को तैनात किया, फाइलों को एन्क्रिप्ट किया और डिक्रिप्शन कुंजियों को जारी करने के लिए फिरौती की मांग की।
लॉकबिट रैंसमवेयर स्ट्रेन भी पेपरकट सर्वर को निशाना बना रहा है
लॉकबिट , एक अन्य कुख्यात रैंसमवेयर स्ट्रेन, भी सक्रिय रूप से पेपरकट सर्वर कमजोरियों का शोषण कर रहा है। लेस टेम्पेस्ट की रणनीति के समान, लॉकबिट ने असुरक्षित सिस्टम में घुसपैठ करने के लिए अप्रमाणित रिमोट कोड निष्पादन और सूचना प्रकटीकरण खामियों का फायदा उठाया। संवेदनशील डेटा और आंतरिक नेटवर्क तक पहुंच के साथ, लॉकबिट ने अपने रैंसमवेयर पेलोड को तैनात किया, जिससे एन्क्रिप्टेड फाइलें और फिरौती की मांग हुई। लॉकबिट और लेस टेम्पेस्ट जैसे दुर्भावनापूर्ण अभिनेताओं द्वारा इन कमजोरियों को तेजी से अपनाना इन पेपरकट दोषों की गंभीरता को उजागर करता है और साइबर खतरों से बचाने के लिए नियमित रूप से पैचिंग और सॉफ्टवेयर को अपडेट करने के महत्व पर जोर देता है।
लेस टेम्पेस्ट हमले की रणनीति
लेस टेम्पेस्ट, क्लॉप रैंसमवेयर सहयोगी, ने पेपरकट सर्वर कमजोरियों का प्रभावी ढंग से फायदा उठाने के लिए अपनी अनूठी हमले की रणनीति विकसित की है। PowerShell कमांड, कमांड और कंट्रोल सर्वर कनेक्शन, और कोबाल्ट स्ट्राइक बीकन जैसे परिष्कृत तरीकों को नियोजित करके, लेस टेम्पेस्ट ने सिस्टम में सफलतापूर्वक घुसपैठ की है और अपने रैंसमवेयर पेलोड को डिलीवर किया है।
TrueBot DLL डिलीवर करने के लिए PowerShell कमांड का उपयोग करना
लेस टेम्पेस्ट के हमले अक्सर पॉवरशेल कमांड के निष्पादन के साथ शुरू होते हैं, जिसका उपयोग वे लक्षित सिस्टम में एक दुर्भावनापूर्ण ट्रूबॉट डीएलएल (डायनेमिक लिंक लाइब्रेरी) फ़ाइल देने के लिए करते हैं। यह DLL फ़ाइल तब सिस्टम पर लोड की जाती है, और आगे की दुर्भावनापूर्ण गतिविधियों के लिए बिल्डिंग ब्लॉक के रूप में कार्य करती है, जैसे कमांड और कंट्रोल सर्वर से कनेक्शन स्थापित करना और अतिरिक्त मैलवेयर घटकों को डाउनलोड करना।
एक कमांड और कंट्रोल सर्वर से जुड़ता है
एक बार ट्रूबॉट डीएलएल स्थापित हो जाने के बाद, लेस टेम्पेस्ट का मैलवेयर एक कमांड और कंट्रोल (सी2) सर्वर से जुड़ जाता है। यह कनेक्शन हमलावरों को कमांड भेजने और समझौता किए गए सिस्टम से डेटा प्राप्त करने की अनुमति देता है, डेटा एक्सफिल्ट्रेशन की सुविधा देता है और कोबाल्ट स्ट्राइक बीकन जैसे अतिरिक्त मैलवेयर घटकों या उपकरणों की तैनाती को सक्षम करता है।
रैंसमवेयर डिलीवरी के लिए कोबाल्ट स्ट्राइक बीकन का उपयोग
लेस टेम्पेस्ट अक्सर हमले की श्रृंखला के हिस्से के रूप में कोबाल्ट स्ट्राइक बीकन का उपयोग करता है। कोबाल्ट स्ट्राइक एक वैध पैठ परीक्षण उपकरण है, जिसमें "बीकन" नामक शोषण के बाद का एजेंट शामिल है। दुर्भाग्य से, लेस टेम्पेस्ट जैसे साइबर अपराधियों ने अपने दुर्भावनापूर्ण उद्देश्यों के लिए इस उपकरण का पुनरुत्पादन किया है। इस मामले में, वे लक्षित सिस्टम को क्लॉप रैंसमवेयर देने के लिए कोबाल्ट स्ट्राइक बीकन का उपयोग करते हैं। एक बार जब रैनसमवेयर तैनात हो जाता है, तो यह सिस्टम पर फ़ाइलों को एन्क्रिप्ट करता है और डिक्रिप्शन कुंजियों के लिए फिरौती मांगता है, पीड़ितों के डेटा को प्रभावी ढंग से बंधक बनाकर रखता है।
रैंसमवेयर ऑपरेशंस में बदलाव
हाल के वर्षों में क्लॉप जैसे रैंसमवेयर गिरोहों के संचालन में उल्लेखनीय बदलाव आया है। पूरी तरह से डेटा को एन्क्रिप्ट करने और डिक्रिप्शन कुंजियों के लिए फिरौती मांगने के बजाय, हमलावर अब जबरन वसूली के उद्देश्यों के लिए संवेदनशील डेटा चोरी करने को प्राथमिकता दे रहे हैं। रणनीति में इस बदलाव ने साइबर हमले को और भी खतरनाक बना दिया है, क्योंकि दुर्भावनापूर्ण अभिनेता अब पीड़ितों को फिरौती देने के लिए चोरी किए गए डेटा का लाभ उठा सकते हैं, भले ही उनके पास ध्वनि बैकअप रणनीतियां हों।
जबरन वसूली के लिए डेटा चोरी पर ध्यान दें
रैंसमवेयर गिरोहों ने महसूस किया है कि पीड़ितों को बंधक बनाने के लिए केवल एन्क्रिप्शन पर निर्भर रहने की तुलना में जबरन वसूली के उद्देश्यों के लिए डेटा चोरी करने से अधिक आकर्षक परिणाम मिल सकते हैं। संवेदनशील जानकारी की चोरी करके, हमलावर अब चोरी किए गए डेटा को डार्क वेब पर प्रकाशित करने या बेचने की धमकी दे सकते हैं, जिससे संभावित रूप से संगठनों को महत्वपूर्ण वित्तीय और प्रतिष्ठित नुकसान हो सकता है। इस अतिरिक्त दबाव से पीड़ितों द्वारा मांगी गई फिरौती का भुगतान करने की संभावना बढ़ जाती है।
हमलों में डेटा चोरी को प्राथमिकता देना
इस बदलाव के अनुरूप, लेस टेम्पेस्ट जैसे रैंसमवेयर गिरोहों ने अपने हमलों में डेटा चोरी को प्राथमिकता देना शुरू कर दिया है। पावरशेल कमांड, ट्रूबॉट डीएलएल, और कोबाल्ट स्ट्राइक बीकन जैसे परिष्कृत हमले की रणनीति विकसित करके, ये दुर्भावनापूर्ण अभिनेता कमजोर सिस्टम में घुसपैठ करने और इसे एन्क्रिप्ट करने से पहले डेटा को बाहर निकालने में सक्षम हैं, एक सफल जबरन वसूली की संभावना को प्रभावी ढंग से बढ़ाते हैं।
डेटा एक्सफिल्ट्रेशन के लिए कमजोरियों का शोषण करने के साथ क्लॉप गैंग का इतिहास
क्लॉप गैंग का डेटा एक्सफिल्ट्रेशन उद्देश्यों के लिए कमजोरियों का फायदा उठाने का इतिहास रहा है। उदाहरण के लिए, 2020 में, क्लॉप ऑपरेटिव्स ने ग्लोबल एक्सीलियन को सफलतापूर्वक हैक कर लिया और लगभग 100 कंपनियों के डेटा को कंपनी के फाइल ट्रांसफर एप्लायंस एप्लिकेशन में प्रकट कमजोरियों का उपयोग करके चुरा लिया। हाल ही में, क्लॉप गिरोह ने 130 कंपनियों से डेटा चोरी करने के लिए GoAnywhere MFT सुरक्षित फ़ाइल-साझाकरण प्लेटफ़ॉर्म में शून्य-दिन की कमजोरियों का उपयोग किया। डेटा चोरी के लिए भेद्यता का शोषण करने का यह पैटर्न, हमेशा विकसित होने वाले रैनसमवेयर परिदृश्य के साथ मिलकर, संगठनों को मजबूत सुरक्षा उपायों को अपनाने और अपनी महत्वपूर्ण संपत्तियों की सुरक्षा के लिए अप-टू-डेट सॉफ़्टवेयर बनाए रखने की आवश्यकता पर प्रकाश डालता है।