रैनसमवेयर अटैक रेविल (सोडिकिनिबी) साइबर गैंग के नेतृत्व में दुनिया भर में 1,500 व्यवसायों को प्रभावित करता है

रेविली रेमेंसर ने परीक्षण किया है कुख्यात रेविल / सोडिनिकिबी साइबर गैंग द्वारा किया गया एक बड़ा रैंसमवेयर हमला, कथित तौर पर अमेरिका में 200 व्यवसायों और दुनिया भर में 1500 के करीब हो सकता है। रूसी-बंधे हुए बदमाशों ने खतरे को फैलाने के लिए एक विशिष्ट नेटवर्क प्रबंधन सॉफ्टवेयर पैकेज से समझौता किया, जिससे उन्हें क्लाउड-सेवा प्रदाताओं के असंख्य तक पहुंचने की अनुमति मिली।

प्रश्न में त्रुटिपूर्ण सॉफ़्टवेयर को वर्चुअल सिस्टम एडमिनिस्ट्रेटर, या VSA - एक रिमोट मॉनिटरिंग एंड मैनेजमेंट सिस्टम कहा जाता है, जो एक निजी कंपनी, Kasya द्वारा विकसित और विपणन किया जाता है, जो दुनिया भर में छोटे और मध्यम आकार के व्यवसायों को कुशल और लागत प्रभावी सॉफ़्टवेयर समाधान प्रदान करने का प्रयास करता है। . मैलवेयर ने कासिया के वीएएस ऑन-प्रिमाइसेस पैकेज द्वारा प्रबंधित अंतिम बिंदुओं पर रैंसमवेयर निष्पादित करना शुरू कर दिया। नतीजतन, रणनीति का वास्तविक पैमाना सुरक्षा शोधकर्ताओं की अपेक्षा से अधिक महत्वपूर्ण साबित हो सकता है।

बड़े प्रभाव के लिए लोकप्रिय सॉफ़्टवेयर का उपयोग करना

उस कैलिबर के रैंसमवेयर हमले आमतौर पर जाने-माने, व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर प्रोग्रामों में सुरक्षा खामियों को खोजने की कोशिश करते हैं, फिर उन खामियों का फायदा उठाते हुए मैलवेयर को आपूर्ति श्रृंखला में और नीचे ले जाते हैं। हालाँकि, यह पहला बड़े पैमाने पर आपूर्ति-श्रृंखला रैंसमवेयर हमला है जिसे हमने देखा है। कासिया के वीएसए पैकेज का उपयोग करने वाले बड़ी संख्या में व्यवसायों को देखते हुए, यह पूरी तरह से स्पष्ट नहीं है कि उनके कितने प्रतिशत ग्राहक अब तक हमले के शिकार हुए हैं। कासिया के प्रबंधन ने अभी एक आधिकारिक नोटिस जारी किया है जिसमें ग्राहकों से मैलवेयर के प्रसार को रोकने के लिए अपने सभी ऑन-प्रिमाइसेस वीएसए सर्वर बंद करने का आग्रह किया गया है। जबकि कंपनी को साठ से कम प्रभावित ग्राहक मिले हैं, बाद वाले के कई अन्य कंपनियों के साथ व्यापारिक संबंध हैं, जो प्रभावित कंपनियों की कुल संख्या को 1500 या उसके आसपास के अनुमान के अनुसार लाता है।

4 जुलाई की पूर्व संध्या पर - संयोग या एक परिकलित चाल?

सुरक्षा शोधकर्ताओं का मानना है कि हमले का समय - शुक्रवार, 2 जुलाई - जानबूझकर दिया गया था कि आईटी सहित अधिकांश व्यावसायिक विभागों ने आमतौर पर राष्ट्रीय छुट्टियों से पहले और उसके दौरान कर्मचारियों की संख्या कम कर दी है। हंट्रेस लैब्स 'जॉन हैमंड, जिन्होंने हमले की खोज की, ने कम से कम चार संक्रमित प्रबंधित-सेवा प्रदाताओं की सूचना दी है, उनमें से प्रत्येक कई अन्य व्यवसायों को आईटी इंफ्रास्ट्रक्चर होस्टिंग सेवाएं प्रदान कर रहा है। हमले की आपूर्ति-श्रृंखला के चरित्र में भारी नुकसान की संभावना है क्योंकि इसके अंतिम शिकार छोटे और मध्यम आकार की कंपनियां हैं जो पूरी तरह से अपने आपूर्तिकर्ताओं की सुरक्षा पर निर्भर हैं। एक बार जब उत्तरार्द्ध को उल्लंघन का सामना करना पड़ा, तो यह उनके व्यापार ग्राहकों के बीच जंगल की आग की तरह फैल गया और श्रृंखला के नीचे फैल गया।

पैच और निवारक उपाय (6 जुलाई, 12:00 अपराह्न EDT तक)

कासिया के अधिकारियों ने प्रभावित ग्राहकों को सलाह दी है कि वे अगली सूचना तक अपने ऑन-प्रिमाइसेस वीएसए सर्वर को बंद कर दें और सर्वरों को ऑनलाइन वापस लाने से पहले एक सुरक्षा पैच विकसित करने का वादा करते हुए किसी भी रैंसमवेयर से संबंधित यूआरएल पर क्लिक करने से बचें। कंपनी ने अपने वीएसए सास इंफ्रास्ट्रक्चर को ऑफलाइन भी रखकर सूट का पालन किया। जबकि कासिया के सुरक्षा विशेषज्ञ आज शाम 7:00 बजे ईडीटी तक सास सेवाओं को बहाल करने की उम्मीद करते हैं, वे भविष्य में संक्रमण के जोखिम को कम करने के लिए उन्नत सुरक्षा उपायों की एक स्ट्रिंग को लागू करने की भी योजना बना रहे हैं। उन उपायों की स्थापना से लेकर:

  • प्रत्येक वीएसए सर्वर की निगरानी के लिए एक स्वतंत्र सुरक्षा संचालन केंद्र (एसओसी)
  • प्रत्येक वीएसए सर्वर के लिए संबंधित वेब एप्लिकेशन फ़ायरवॉल (डब्ल्यूएएफ) के साथ एक अतिरिक्त सामग्री वितरण नेटवर्क (सीडीएन)
  • किसी भी संभावित उल्लंघन के लिए अपने ऑन-प्रिमाइसेस वीएसए सर्वर का परीक्षण करने के इच्छुक ग्राहकों के लिए एक समझौता जांच उपकरण
  • ऑन-प्रिमाइसेस वीएसए ग्राहकों के लिए एक पैच (पहले से ही विकसित, वर्तमान में परीक्षण और सत्यापन के दौर से गुजर रहा है)।

अगर सब कुछ योजना के अनुसार होता है, तो कासिया के वीएसए ग्राहक अगले कुछ घंटों के भीतर अपने सर्वर को चालू करने में सक्षम होंगे।