WickrMe Ransomware

एक नए रैंसमवेयर ऑपरेशन ने Microsoft SharePoint सर्वर को लक्षित करना शुरू कर दिया है, जो पहली बार इस विशेष प्रविष्टि बिंदु का उपयोग निजी कॉर्पोरेट नेटवर्क में घुसपैठ करने और रैंसमवेयर को तैनात करने के लिए किया गया है। इसी तरह के अभियानों के पिछले लक्ष्य माइक्रोसॉफ्ट एक्सचेंज ईमेल सर्वर, सिट्रिक्स गेटवे, एफ 5 बिग-आईपी लोड बैलेंसर्स, और पल्स सिक्योर, फोर्टिनेट और पालो ऑल्टो नेटवर्क द्वारा जारी किए गए वीपीएन उत्पाद हैं।

हमले के अभियान को सुरक्षा विक्रेताओं द्वारा WickrMe Ransomware (हैलो) के रूप में विक्र एन्क्रिप्टेड IM खातों के उपयोग के कारण संचार चैनलों के भाग के रूप में देखा जा रहा है, जिसका उपयोग पीड़ित साइबर अपराधियों तक पहुंचने के लिए कर सकते हैं। WickMe Ransomware द्वारा शोषित प्रारंभिक समझौता वेक्टर Microsoft की SharePoint टीम सहयोग सर्वर को प्रभावित करने वाली ज्ञात भेद्यता (CVE-2019-0604) है। शोषण खतरे के अभिनेता को SharePoint सर्वर पर नियंत्रण स्थापित करने और दूषित वेब शेल वितरित करने की अनुमति देता है। अगले चरण में एक कोबाल्ट स्ट्राइक बीकन स्थापित करके एक पिछले दरवाजे को बनाना शामिल है। फिर हैकर्स स्वचालित पॉवरशेल स्क्रिप्ट चला सकते हैं जो अंततः अंतिम पेलोड को छोड़ देगा और निष्पादित करेगा - समझौता किए गए सिस्टम पर हैलो रैंसमवेयर खतरा।

कंपनियों को एक्सप्लॉइट के बारे में चेतावनी दी गई थी

पिछले साल, Microsoft ने एक ब्लॉग पोस्ट जारी किया, जिसमें रैनसमवेयर खतरों के वितरण के लिए गेटवे के रूप में नेटवर्किंग उपकरणों में भेद्यता को लक्षित करने वाले मनाया हमले के अभियानों में उल्लेखनीय वृद्धि को संबोधित किया। लेख में उल्लिखित विशिष्ट भेद्यताओं में CVE-2019-0604 भी था। Microsoft कंपनियों से आग्रह करता है कि वे उन कारनामों के संग्रह को पैच करें जो उन्हें विश्वास था कि जल्द ही रैंसमवेयर समूहों द्वारा लक्षित किया जा सकता है।

उसी SharePoint सर्वर बग का साइबर अपराधियों, राज्य द्वारा प्रायोजित जासूसी समूहों और APTs (उन्नत स्थायी खतरों) द्वारा शुरू किए गए अभियानों द्वारा शोषण किया गया था।