शुक्रवार को रैंसमवेयर की बाढ़ ने दुनिया भर की सैकड़ों कंपनियों को चपेट में ले लिया। एक किराने की दुकान श्रृंखला, एक सार्वजनिक प्रसारक, स्कूल और एक राष्ट्रीय रेलवे प्रणाली सभी फ़ाइल-एन्क्रिप्टिंग मैलवेयर की चपेट में आ गए, जिससे व्यवधान पैदा हुआ और सैकड़ों व्यवसायों को बंद करने के लिए मजबूर होना पड़ा।
पीड़ितों में कुछ समान था: नेटवर्क प्रबंधन और रिमोट कंट्रोल सॉफ्टवेयर का एक प्रमुख टुकड़ा . द्वारा विकसित किया गया अमेरिकी प्रौद्योगिकी फर्म कासिया. मियामी मुख्यालय वाली कंपनी सॉफ्टवेयर बनाता है किसी कंपनी के आईटी नेटवर्क और उपकरणों को दूरस्थ रूप से प्रबंधित करने के लिए उपयोग किया जाता है। वह सॉफ़्टवेयर प्रबंधित सेवा प्रदाताओं को बेचा जाता है – प्रभावी रूप से आउटसोर्स किए गए आईटी विभाग – जिसका उपयोग वे अपने ग्राहकों, अक्सर छोटी कंपनियों के नेटवर्क का प्रबंधन करने के लिए करते हैं।
लेकिन माना जाता है कि रूस से जुड़े रेविल रैंसमवेयर-ए-ए-सर्विस ग्रुप से जुड़े हैकर्स ने सॉफ्टवेयर के अपडेट मैकेनिज्म में पहले कभी नहीं देखी गई सुरक्षा भेद्यता का इस्तेमाल किया है, जो कि कासिया के ग्राहकों को रैंसमवेयर को आगे बढ़ाने के लिए है, जो बदले में उनके ग्राहकों के लिए नीचे की ओर फैल गया। . कई कंपनियां जो अंततः हमले का शिकार हुईं, उन्हें शायद यह नहीं पता था कि उनके नेटवर्क की निगरानी कासिया के सॉफ्टवेयर द्वारा की जाती थी।
कासिया ने शुक्रवार को ग्राहकों को चेतावनी दी कि वे अपने ऑन-प्रिमाइसेस सर्वर को “तुरंत” बंद कर दें, और इसकी क्लाउड सेवा – हालांकि प्रभावित नहीं माना जाता है – एहतियात के तौर पर ऑफ़लाइन खींच लिया गया था।
“[Kaseya] सही काम करने के लिए एक वास्तविक प्रतिबद्धता दिखाई। दुर्भाग्य से, हमें अंतिम स्प्रिंट में रेविल ने हराया था।” सुरक्षा शोधकर्ता विक्टर गेवर्स
जॉन हैमंड, हंट्रेस लैब्स के वरिष्ठ सुरक्षा शोधकर्ता, एक खतरे का पता लगाने वाली फर्म, जो हमले का खुलासा करने वाले पहले लोगों में से एक थी, ने कहा कि लगभग 30 प्रबंधित सेवा प्रदाताओं को रैंसमवेयर को “अच्छी तरह से” 1,000 व्यवसायों में फैलने की अनुमति दी गई थी। सुरक्षा फर्म ईएसईटी ने कहा कि वह यूके, दक्षिण अफ्रीका, कनाडा, न्यूजीलैंड, केन्या और इंडोनेशिया सहित 17 देशों में पीड़ितों के बारे में जानता है।
अब यह स्पष्ट हो रहा है कि हैकर्स ने हाल के इतिहास के सबसे बड़े रैंसमवेयर हमलों में से एक को कैसे निकाला।
डच शोधकर्ताओं ने कहा कि उन्हें वेब-आधारित व्यवस्थापक टूल की सुरक्षा की जांच के हिस्से के रूप में कई शून्य-दिन की कमजोरियां कासिया के सॉफ़्टवेयर में मिलीं। (शून्य-दिनों को ऐसे नाम दिया गया है क्योंकि यह कंपनियों को समस्या को ठीक करने के लिए शून्य दिन देता है।) बग की सूचना कासिया को दी गई थी और हैकर्स के हिट होने पर ठीक होने की प्रक्रिया में थे, विक्टर गेवर्स, जो शोधकर्ताओं के समूह के प्रमुख हैं, ने कहा, में एक ब्लॉग पोस्ट.
कासिया के मुख्य कार्यकारी फ्रेड वोकोला ने बताया वॉल स्ट्रीट जर्नल कि इसके कॉर्पोरेट सिस्टम से समझौता नहीं किया गया था, सुरक्षा शोधकर्ताओं द्वारा कार्य सिद्धांत को अधिक विश्वास देते हुए कि कासिया के ग्राहकों द्वारा चलाए जा रहे सर्वरों को एक सामान्य भेद्यता का उपयोग करके व्यक्तिगत रूप से समझौता किया गया था।
कंपनी ने कहा कि पैच तैयार होने तक प्रभावित सॉफ्टवेयर चलाने वाले सभी सर्वर ऑफलाइन रहें। वोकोला ने अखबार को बताया कि उसे उम्मीद है कि सोमवार के अंत तक पैच जारी हो जाएंगे।
यह हमला शुक्रवार की दोपहर देर से शुरू हुआ, जब लाखों अमेरिकी 4 जुलाई के लंबे सप्ताहांत में प्रवेश कर रहे थे। क्राउडस्ट्राइक के इंटेलिजेंस के वरिष्ठ उपाध्यक्ष एडम मेयर्स ने कहा कि हमले का समय सावधानी से तय किया गया था।
“कोई गलती न करें, इस हमले का समय और लक्ष्य कोई संयोग नहीं है। यह दिखाता है कि हम एक बिग गेम हंटिंग हमले के रूप में क्या परिभाषित करते हैं, जिसे एक छुट्टी सप्ताहांत के दौरान आपूर्ति श्रृंखला के माध्यम से प्रभाव और लाभ को अधिकतम करने के लक्ष्य के खिलाफ लॉन्च किया गया था, जब व्यापार सुरक्षा कम हो जाती है, “मेयर्स ने कहा।
सप्ताहांत में एक डार्क वेब साइट पर पोस्ट किया गया एक नोटिस जिसे रेविल द्वारा चलाए जाने के लिए जाना जाता है, ने हमले की जिम्मेदारी ली है, और यह कि रैंसमवेयर समूह सार्वजनिक रूप से एक डिक्रिप्शन टूल जारी करता है यदि उसे बिटकॉइन में $ 70 मिलियन का भुगतान किया जाता है।
“एक लाख से अधिक सिस्टम संक्रमित थे,” समूह पोस्ट में दावा करता है।