कासिया पर आपूर्ति श्रृंखला के हमले ने रैंसमवेयर से सैकड़ों लोगों को संक्रमित किया: हम क्या जानते हैं

Posted on

एआई अपनाने की अवस्था में आपका उद्यम कहां खड़ा है? पता लगाने के लिए हमारे एआई सर्वेक्षण में भाग लें।


एक रैनसमवेयर गिरोह ने आपूर्ति श्रृंखला हमले के हिस्से के रूप में एक दूरस्थ आईटी निगरानी और प्रबंधन उपकरण से समझौता करने के बाद 200 से अधिक व्यवसायों की फाइलों को सफलतापूर्वक एन्क्रिप्ट किया है। यह अभी तक ज्ञात नहीं है कि हमलावरों ने उपकरण से कैसे समझौता किया, या हमला कितना व्यापक है।

कासिया वीएसए रिमोट मॉनिटरिंग और प्रबंधन उपकरण चलाने वाले उद्यमों को सेवा चलाने वाले सर्वरों को तुरंत बंद कर देना चाहिए, आईटी कंपनी कासिया के सीईओ फ्रेड वोकोला ने शुक्रवार को पोस्ट की गई एक चेतावनी में कहा। रैंसमवेयर हमले के पीछे हमलावर वीएसए तक प्रशासनिक पहुंच को अक्षम कर रहे हैं, जब वे पीड़ित नेटवर्क तक पहुंच प्राप्त कर लेते हैं, जिससे रैंसमवेयर को रोकने और हटाने के प्रयासों को जटिल बना दिया जाता है।

SaaS और होस्ट किए गए ग्राहकों को प्रभावित करने वाले समझौते की कोई रिपोर्ट प्राप्त नहीं होने के बावजूद, कंपनी ने एहतियात के तौर पर अपने टूल के सॉफ़्टवेयर-ए-ए-सर्विस संस्करण के लिए सर्वर बंद कर दिए। कंपनी ने कहा कि सास और होस्ट किए गए वीएसए सर्वर “कासिया द्वारा निर्धारित किए जाने के बाद परिचालन शुरू हो जाएगा कि हम सुरक्षित रूप से संचालन बहाल कर सकते हैं।”

रैनसमवेयर टास्क फोर्स की एक रिपोर्ट के अनुसार, रैंसमवेयर लगभग वर्षों से है, लेकिन हाल ही में बढ़ गया है, लगभग 2,400 सरकारें, स्वास्थ्य देखभाल प्रणाली और देश में स्कूल 2020 में रैंसमवेयर की चपेट में आ गए हैं। डेटा एक आधुनिक कंपनी की जीवनदायिनी है – जब रैंसमवेयर फाइलों को एन्क्रिप्ट करता है और इसे दुर्गम बनाता है, तो यह उस कंपनी को ठप कर देता है।

कासिया के सिस्टम के खिलाफ हमला संयुक्त राज्य भर में महत्वपूर्ण बुनियादी ढांचे और निर्माण कंपनियों के खिलाफ हालिया हमलों की एक श्रृंखला में नवीनतम है: औपनिवेशिक पाइपलाइन, मोल्सन कूर्स और जेबीएस मीड्स। हमले के पीछे गिरोह – रेविल – वही है जिसे फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन ने कुछ हफ्ते पहले जेबीएस को प्रभावित किया था।

यहां कासिया वीएसए के खिलाफ आपूर्ति श्रृंखला रैंसमवेयर हमले का टूटना और उद्यमों के लिए इसका क्या अर्थ है।

सुरक्षा टीमों को अभी क्या करना चाहिए?

अपने नेटवर्क में कासिया वीएसए चलाने वाले संगठनों को उन सर्वरों को तुरंत बंद कर देना चाहिए। कंपनी ने अपने नवीनतम अपडेट में कहा, “सभी ऑन-प्रिमाइसेस वीएसए सर्वरों को कासिया के लिए अगले निर्देश तक जारी रहना चाहिए, जब यह संचालन को बहाल करने के लिए सुरक्षित है।”

कासिया ने कहा कि वीएसए को फिर से शुरू करने से पहले एक पैच लगाने की आवश्यकता होगी। कंपनी ने पहले के एक अपडेट में कहा था कि उसका मानना ​​​​है कि उसने भेद्यता के स्रोत की पहचान कर ली है और इस मुद्दे को कम करने के लिए एक सुरक्षा पैच का विकास और परीक्षण कर रही है।

सोफोस ने संभावित पीड़ितों के लिए एक विस्तृत गाइड भी जारी किया है ताकि यह पता लगाया जा सके कि क्या उन पर हमला हो रहा है।

क्या सर्वरों को शट डाउन करना थोड़ा अधिक नहीं है?

साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी ऐसा नहीं सोचती है। एजेंसी ने नेशनल साइबर अवेयरनेस सिस्टम अलर्ट में कहा, “सीआईएसए संगठनों को कासिया एडवाइजरी की समीक्षा करने और वीएसए सर्वर को बंद करने के लिए उनके मार्गदर्शन का तुरंत पालन करने के लिए प्रोत्साहित करता है।”

स्वतंत्र सुरक्षा फर्म हंट्रेस लैब्स ने रॉयटर्स को बताया कि हमले में “किसी भी आकार या पैमाने के व्यवसाय में फैलने की क्षमता है।”

हमला कैसा दिखता है?

इस समय कोई नहीं जानता कि कैसे हमलावरों ने कासिया के वीएसए से समझौता किया, लेकिन आरईविल रैंसमवेयर कासिया अपडेट के माध्यम से ग्राहक नेटवर्क में प्रवेश कर रहा है और वीएसए के आंतरिक स्क्रिप्टिंग इंजन के माध्यम से सभी जुड़े क्लाइंट सिस्टम में फैल रहा है। क्योंकि VSA के पास प्रशासनिक विशेषाधिकार हैं, यह ग्राहकों को संक्रमित करने में सक्षम है। यह इस बिंदु पर भी स्पष्ट नहीं है कि क्या हमलावरों ने वास्तव में उन्हें एन्क्रिप्ट करने से पहले किसी भी डेटा को बाहर निकाला है।

मैलवेयर स्थानीय एंटीवायरस सॉफ़्टवेयर को अक्षम कर देता है और विंडोज डिफेंडर का उपयोग करके एक दुर्भावनापूर्ण DLL को साइड-लोड करता है – और वह दुर्भावनापूर्ण फ़ाइल समझौता मशीन पर फ़ाइलों को एन्क्रिप्ट करती है, मार्क लोमन, एक सोफोस मैलवेयर विश्लेषक, ट्विटर पर लिखा

.

कासिया की चेतावनी में कहा गया है कि रैंसमवेयर के नेटवर्क में घुसपैठ करने के बाद हमलावर सबसे पहले जो काम करता है, वह है “वीएसए तक प्रशासनिक पहुंच को बंद करना।”

हमला कितना व्यापक है?

कहना थोड़ा मुश्किल है। 40,000 से अधिक संगठन Kaseya उत्पादों का उपयोग करते हैं, लेकिन उस संख्या में Kaseya के कुछ अन्य IT टूल का उपयोग करने वाले ग्राहक भी शामिल हैं, VSA नहीं। “केवल बहुत कम संख्या में ऑन-प्रिमाइसेस ग्राहक” प्रभावित हुए – जो कि 40 से कम प्रत्यक्ष ग्राहक प्रतीत होते हैं। हालांकि, शोधकर्ताओं ने बताया कि इसका व्यापक प्रभाव हो सकता है, खासकर जब से वीएसए नेटवर्क प्रबंधन, सिस्टम अपडेट और अन्य कंपनियों के लिए बैकअप जैसी आईटी सेवाएं प्रदान करने वाले प्रबंधित सेवा प्रदाताओं के बीच लोकप्रिय है।

सुरक्षा कंपनी हंट्रेस लैब्स स्थिति की निगरानी कर रही है और रेडिट थ्रेड पर नियमित अपडेट पोस्ट कर रही है। हंट्रेस ने कहा कि यह आठ प्रबंधित सेवा प्रदाताओं को ट्रैक कर रहा है जिनका उपयोग 200 से अधिक ग्राहकों को संक्रमित करने के लिए किया गया था।

क्या होगा अगर हम पहले ही रैंसमवेयर से संक्रमित हो चुके हैं?

यदि संगठन पहले ही रैंसमवेयर से संक्रमित हो चुका है, तो सुरक्षा टीमों को घटना प्रतिक्रिया योजना के माध्यम से काम करना चाहिए। इसका मतलब यह हो सकता है कि फिरौती का भुगतान करना (हालांकि यह अत्यधिक हतोत्साहित किया जाता है, कुछ हाई-प्रोफाइल भुगतान हुए हैं, जैसे कि $11 मिलियन JBS ने REvil गिरोह को भुगतान किया), या सभी प्रणालियों को ऑफ़लाइन लेना और बैकअप से डेटा को नए सिरे से पुनर्स्थापित करना। रैंसमवेयर बैकअप सर्वर को लक्षित कर सकता है, सिस्को टैलोस ने अपने खतरे की सलाह में चेतावनी दी है, इसलिए आईटी को यह जांचने की आवश्यकता हो सकती है कि क्या बैकअप सर्वर भी संक्रमित थे और यदि वे मौजूद हैं तो ऑफ़लाइन बैकअप से पुनर्स्थापित करें।

फिरौती अलग-अलग होती है फिरौती की मांग $44,999 (सोफोस के मैलवेयर विश्लेषक मार्क लोमन द्वारा ट्विटर पर पोस्ट किया गया) $ 5 मिलियन (जैसा कि रॉयटर्स द्वारा रिपोर्ट किया गया है)।

इस तथ्य के बारे में क्या है कि यह एक आपूर्ति श्रृंखला हमला था?

यह पहली बार नहीं है जब विरोधी अपने हमलों के प्रभाव को बढ़ाने के लिए आपूर्ति श्रृंखला को लक्षित कर रहे हैं, और यह आखिरी नहीं होगा। उद्यम व्यवसाय संचालन की एक विस्तृत श्रृंखला के लिए प्रदाताओं के नेटवर्क पर तेजी से भरोसा कर रहे हैं जिसमें डेटा प्रोसेसिंग और स्टोरेज, नेटवर्किंग इंफ्रास्ट्रक्चर और एप्लिकेशन डिलीवरी शामिल है – यह प्रवृत्ति दूर नहीं हो रही है। आपूर्तिकर्ता पर एक सुरक्षा घटना अनिवार्य रूप से उद्यम के लिए भी एक घटना होने जा रही है।

रैनसमवेयर टास्क फोर्स ने “सबसे खराब स्थिति” पर विचार किया और इस तरह की आपूर्ति श्रृंखला हमले को एक गंभीर कमजोरी के रूप में पहचाना, जेम्स शंक, रैनसमवेयर टास्क फोर्स कमेटी लीड फॉर वर्स्ट केस सिनेरियो और चीफ आर्किटेक्ट, टीम साइमरू के लिए सामुदायिक सेवाएं। उद्यमों को आपूर्तिकर्ताओं का ऑडिट करने और तीसरे पक्ष के विक्रेताओं के साथ एकीकृत होने के बारे में ध्यान से सोचने की आवश्यकता है। कई संगठन जीरो-ट्रस्ट की बात कर रहे हैं।

पूर्ण न्यूनतम तक जोखिम को सीमित करने और व्यावसायिक संचालन को सक्षम करने के लिए पर्याप्त लिंक होने के बीच संतुलन खोजना मुश्किल हिस्सा है।

क्या हमले का समय महत्वपूर्ण है?

शायद। इस प्रकार के हमलों की योजना और तैयारी होती है, और समय को यादृच्छिक रूप से चुने जाने या मौके पर छोड़े जाने की संभावना नहीं है। आर्मिस में सीआईएसओ, कर्टिस सिम्पसन ने कहा, हमलावर इस हमले के सबसे बड़े प्रभाव के समय की योजना बना सकते थे, यह जानते हुए कि कई डिजिटल व्यवसायों ने अमेरिकी स्वतंत्रता दिवस सप्ताहांत में सेवा उपयोग में वृद्धि का अनुभव किया है।

यह पता लगाने में देरी करने और उपचार को और अधिक कठिन बनाने के लिए एक व्यावहारिक निर्णय भी हो सकता है। कई उद्यमों ने कर्मचारियों को शुक्रवार दोपहर को समय दिया और छुट्टियों के सप्ताहांत में काम करने वाले कम कर्मचारी हो सकते हैं। रैंसमवेयर हमले को संभालना आम तौर पर एक आमने-सामने की स्थिति और एक तनावपूर्ण समय होता है – और कई उद्यम सामान्य से छोटी टीम के साथ लड़ने के लिए कमर कस रहे हैं। कुछ मामलों में, पीड़ितों को यह पता नहीं चल सकता है कि वे मंगलवार को काम पर वापस आने तक प्रभावित हुए हैं।

वेंचरबीट

तकनीकी निर्णय लेने वालों के लिए परिवर्तनकारी तकनीक और लेनदेन के बारे में ज्ञान हासिल करने के लिए वेंचरबीट का मिशन एक डिजिटल टाउन स्क्वायर बनना है।

जब आप अपने संगठनों का नेतृत्व करते हैं तो हमारा मार्गदर्शन करने के लिए हमारी साइट डेटा तकनीकों और रणनीतियों पर आवश्यक जानकारी प्रदान करती है। हम आपको हमारे समुदाय का सदस्य बनने के लिए आमंत्रित करते हैं:

  • आपकी रुचि के विषयों पर अप-टू-डेट जानकारी
  • हमारे समाचार पत्र
  • गेटेड विचार-नेता सामग्री और हमारे बेशकीमती आयोजनों के लिए रियायती पहुंच, जैसे रूपांतरण 2021: और अधिक जानें
  • नेटवर्किंग सुविधाएँ, और बहुत कुछ

सदस्य बने

Leave a Reply

Your email address will not be published. Required fields are marked *