Microsoft चीनी हैकर्स से जुड़े SharePoint सर्वर हमलों में Ransomware की वृद्धि की चेतावनी देता है
Microsoft ने उन संगठनों के लिए एक युद्ध जारी किया है जो ऑन-प्रिमाइसेस SharePoint सर्वर का उपयोग कर रहे हैं। टेक दिग्गज ने पुष्टि की है कि हैकर्स रैंसमवेयर को तैनात करने के लिए ऑन-प्रिमाइसेस SharePoint सर्वर पर कमजोरियों का शोषण कर रहे हैं। Microsoft खतरा खुफिया टीम ने एक विशिष्ट अभिनेता की पहचान की है, जिसे नामित किया गया है तूफान -2603इन नए रैंसमवेयर अभियानों के लिए जिम्मेदार होने के नाते। इससे पहले, SharePoint कमजोरियों की खोज का नेतृत्व किया आँकड़ा एक्सफिल्ट्रेशनलेकिन नवीनतम टिप्पणियों से पता चलता है कि Warlock Ransomware का लाभ उठाने वाले वित्तीय हमलों को प्रेरित किया गया है। हैकर्स का उपयोग कर रहे हैं Warlock ransomware नेटवर्क को पंगु बनाने और क्रिप्टोक्यूरेंसी भुगतान की मांग करने के लिए।
हमला कैसे काम करता है
एक अद्यतन ब्लॉग पोस्ट में Microsoft बताता है कि हमला एक इंटरनेट-सामना करने वाले ऑन-प्रिमाइसेस SharePoint सर्वर के शोषण के साथ शुरू होता है। यह प्रारंभिक उल्लंघन तूफान -2603 पर्यावरण के लिए पहुंच प्रदान करता है, जिसे अक्सर SpinStall0.aspx नामक एक पेलोड द्वारा सुविधा प्रदान की जाती है। एक बार हैकर के लाभ पहुंचने के बाद वे आगे बढ़ते हैं और रैंसमवेयर को तैनात करते हैं।Microsoft ने पुष्टि की है कि SharePoint ऑनलाइन प्रभावित नहीं है, लेकिन ऑन-प्रिमाइसेस संस्करण- SharePoint 2016, 2019, और सदस्यता संस्करण सहित-यदि पैच नहीं किया गया तो कमजोर हो।
वैश्विक हमले के पीछे तीन चीनी राज्य-प्रायोजित समूह
Microsoft ने तीन चीन से जुड़े समूहों की पहचान की- Lineen Typhoon, Piolet Typhoon, और Storm-2603- SharePoint सर्वर में महत्वपूर्ण कमजोरियों का शोषण करते हुए, जिन्होंने ग्राहकों को अपने स्वयं के नेटवर्क पर सॉफ्टवेयर चलाने वाले सॉफ़्टवेयर को हमला करने के लिए असुरक्षित बना दिया। उल्लंघनों ने कई क्षेत्रों में संगठनों को प्रभावित किया, जिनमें सरकारी एजेंसियों, ऊर्जा कंपनियों, परामर्श फर्मों और अमेरिका से लेकर यूरोप और मध्य पूर्व में फैले विश्वविद्यालय शामिल हैं।मामले से परिचित सूत्रों के अनुसार, राष्ट्रीय परमाणु सुरक्षा प्रशासन के उल्लंघन में कथित तौर पर किसी भी संवेदनशील या वर्गीकृत जानकारी से समझौता नहीं किया गया था। परमाणु हथियारों के उत्पादन और विघटित करने के लिए जिम्मेदार अर्ध -आर्थिक ऊर्जा विभाग की बांह को अमेरिकी शिक्षा विभाग सहित अन्य संघीय एजेंसियों के साथ लक्षित किया गया था।
क्या संगठन करना चाहिए
Microsoft ने उपयोगकर्ताओं के लिए अपने ऑन-प्रिमाइसेस SharePoint सर्वर वातावरण की सुरक्षा के लिए कुछ दिशानिर्देश भी साझा किए हैं। कंपनी ने उपयोगकर्ताओं से पूछा है:– सभी SharePoint सर्वर पर एंटीिमवेयर स्कैन इंटरफ़ेस (AMSI) एकीकरण और परिनियोजन डिफेंडर AV को सक्षम करें– यदि AMSI को सक्षम नहीं किया जा सकता है, तो Microsoft इंटरनेट से सर्वर को डिस्कनेक्ट करने की सलाह देता है– पोस्ट-एक्सप्लिट गतिविधि का पता लगाने के लिए एंडपॉइंट के लिए डिफेंडर का उपयोग करें और Spinstall0.aspx जैसे संदिग्ध फ़ाइल निर्माण के लिए मॉनिटर करें
