0मेगा रैंसमवेयर समूह ने किसी समझौता किए गए एंडपॉइंट का उपयोग किए बिना कंपनी के SharePoint ऑनलाइन वातावरण के खिलाफ जबरन वसूली हमले को सफलतापूर्वक अंजाम दिया है, जो कि ये हमले आमतौर पर सामने आते हैं। इसके बजाय, ऐसा प्रतीत होता है कि खतरा समूह ने अनाम कंपनी के वातावरण में घुसपैठ करने, अनुमतियाँ बढ़ाने और अंततः पीड़ित की SharePoint लाइब्रेरी से संवेदनशील डेटा को बाहर निकालने के लिए एक कमजोर रूप से सुरक्षित व्यवस्थापक खाते का उपयोग किया है। डेटा का इस्तेमाल पीड़ित से फिरौती वसूलने के लिए किया जाता था।
संभवतः अपनी तरह का पहला हमला
सुरक्षा फर्म ओब्सीडियन के सह-संस्थापक और सीपीओ ग्लेन चिशोल्म का कहना है कि यह हमला ध्यान देने योग्य है क्योंकि रैंसमवेयर खतरे से निपटने के अधिकांश उद्यम प्रयास एंडपॉइंट सुरक्षा तंत्र पर ध्यान केंद्रित करते हैं। हमले का पता चला.
चिशोल्म कहते हैं, "कंपनियां पूरी तरह से एंडपॉइंट सुरक्षा निवेश के माध्यम से रैंसमवेयर-समूह हमलों को रोकने या कम करने की कोशिश कर रही हैं।" "यह हमला दिखाता है कि एंडपॉइंट सुरक्षा पर्याप्त नहीं है, क्योंकि कई कंपनियां अब SaaS अनुप्रयोगों में डेटा संग्रहीत और एक्सेस कर रही हैं।"
ओब्सीडियन ने जो हमला देखा, उसकी शुरुआत 0मेगा समूह के एक अभिनेता द्वारा पीड़ित संगठन के माइक्रोसॉफ्ट ग्लोबल प्रशासकों में से एक से संबंधित खराब सुरक्षित सेवा खाता क्रेडेंशियल प्राप्त करने से हुई। न केवल उल्लंघन किए गए खाते को सार्वजनिक इंटरनेट से एक्सेस किया जा सकता था, बल्कि इसमें बहु-कारक प्रमाणीकरण (एमएफए) भी सक्षम नहीं था - अधिकांश सुरक्षा विशेषज्ञ इस बात से सहमत हैं कि यह एक बुनियादी सुरक्षा आवश्यकता है, खासकर विशेषाधिकार प्राप्त खातों के लिए।
धमकी देने वाले अभिनेता ने एक सक्रिय निर्देशिका उपयोगकर्ता बनाने के लिए समझौता किए गए खाते का उपयोग किया - कुछ हद तक बेशर्मी से - जिसे "0मेगा" कहा जाता है और फिर पर्यावरण में तबाही मचाने के लिए नए खाते को सभी आवश्यक अनुमतियां देने के लिए आगे बढ़ा। इनमें ग्लोबल एडमिन, SharePoint एडमिन, एक्सचेंज एडमिन और टीम एडमिनिस्ट्रेटर बनने की अनुमतियाँ शामिल थीं। अतिरिक्त अच्छे उपाय के लिए, खतरे वाले अभिनेता ने संगठन के SharePoint ऑनलाइन वातावरण के भीतर तथाकथित साइट संग्रह प्रशासक क्षमताओं के साथ 0मेगा खाते को प्रदान करने और अन्य सभी मौजूदा प्रशासकों को हटाने के लिए समझौता किए गए व्यवस्थापक क्रेडेंशियल का उपयोग किया।
SharePoint-speak में, a साइट संग्रह वेबसाइटों का एक समूह है एक वेब एप्लिकेशन के भीतर जो प्रशासनिक सेटिंग्स साझा करता है और उसका मालिक एक ही है। साइट संग्रह अधिक सामान्य होते हैं कई व्यावसायिक कार्यों और विभागों वाले बड़े संगठनों में, या बहुत बड़े डेटा सेट वाले संगठनों के बीच।
ओब्सीडियन ने जिस हमले का विश्लेषण किया, उसमें 0मेगा थ्रेट एक्टर्स ने दो घंटे की अवधि के भीतर लगभग 200 व्यवस्थापक खातों को हटाने के लिए समझौता किए गए व्यवस्थापक क्रेडेंशियल का उपयोग किया।
स्व-निर्धारित विशेषाधिकारों से लैस, धमकी देने वाले अभिनेता ने संगठन की SharePoint ऑनलाइन लाइब्रेरी से सैकड़ों फ़ाइलों की मदद की और उन्हें रूस में एक वेब होस्टिंग कंपनी से जुड़े वर्चुअल प्राइवेट सर्वर (VPS) होस्ट को भेज दिया। घुसपैठ को सुविधाजनक बनाने के लिए, खतरे वाले अभिनेता ने सार्वजनिक रूप से उपलब्ध Node.js मॉड्यूल का उपयोग किया, जिसे "स्पपुल" कहा जाता है, जो अन्य चीजों के अलावा, डेवलपर्स को HTTP अनुरोधों का उपयोग करके SharePoint संसाधनों के साथ बातचीत करने की अनुमति देता है। जैसा कि इसके अनुरक्षक मॉड्यूल का वर्णन करते हैं, sppull एक "SharePoint से फ़ाइलें खींचने और डाउनलोड करने के लिए सरल क्लाइंट" है।
एक बार घुसपैठ पूरी हो जाने के बाद, हमलावरों ने "" नामक एक अन्य नोड.जेएस मॉड्यूल का उपयोग किया।मिला"पीड़ित के SharePoint वातावरण में हजारों टेक्स्ट फ़ाइलें अपलोड करने के लिए जो मूल रूप से संगठन को सूचित करती थीं कि अभी क्या हुआ था।
कोई समापन बिंदु समझौता नहीं
आमतौर पर, SaaS अनुप्रयोगों को लक्षित करने वाले हमलों में, रैंसमवेयर समूह एक समापन बिंदु से समझौता करते हैं और फिर फ़ाइलों को एन्क्रिप्ट या एक्सफ़िल्रेट करते हैं, आवश्यकतानुसार पार्श्व आंदोलन का लाभ उठाते हुए, चिशोल्म कहते हैं। "इस मामले में, हमलावरों ने SharePoint Online में लॉग इन करने के लिए समझौता किए गए क्रेडेंशियल्स का उपयोग किया, एक नए बनाए गए खाते को प्रशासनिक विशेषाधिकार दिए, और फिर VDSinra.ru द्वारा प्रदान किए गए किराए के होस्ट पर स्क्रिप्ट का उपयोग करके उस नए खाते से स्वचालित डेटा एक्सफ़िलिटेशन किया।" धमकी देने वाले अभिनेता ने समापन बिंदु से समझौता किए बिना या रैंसमवेयर निष्पादन योग्य का उपयोग किए बिना पूरे हमले को अंजाम दिया। वे कहते हैं, "हमारी सर्वोत्तम जानकारी के अनुसार, यह स्वचालित SaaS रैंसमवेयर जबरन वसूली का सार्वजनिक रूप से दर्ज किया गया पहला उदाहरण है।"
चिशोल्म का कहना है कि ओब्सीडियन ने पिछले छह महीनों में एंटरप्राइज़ SaaS वातावरण को लक्षित करने वाले पिछले दो वर्षों की तुलना में अधिक हमले देखे हैं। उनका कहना है कि हमलावरों की बढ़ती रुचि इस तथ्य से उपजी है कि संगठन तेजी से विनियमित, गोपनीय और अन्य संवेदनशील जानकारी को SaaS अनुप्रयोगों में उसी तरह के नियंत्रण लागू किए बिना डाल रहे हैं जैसे वे एंडपॉइंट प्रौद्योगिकियों पर हैं। वे कहते हैं, ''यह नवीनतम खतरे की तकनीक है जिसे हम बुरे अभिनेताओं से देख रहे हैं।'' "संगठनों को तैयार रहने और यह सुनिश्चित करने की आवश्यकता है कि उनके पूरे SaaS परिवेश में सही सक्रिय जोखिम प्रबंधन उपकरण मौजूद हों।"
अन्य लोगों ने इसी तरह की प्रवृत्ति देखने की सूचना दी है। AppOmni के अनुसार एक हो गया है SaaS हमलों में 300% की वृद्धि 1 मार्च, 2023 से सेल्सफोर्स कम्युनिटी साइट्स और अन्य SaaS एप्लिकेशन पर। प्राथमिक आक्रमण वैक्टर में अत्यधिक अतिथि उपयोगकर्ता अनुमतियाँ, अत्यधिक वस्तु और फ़ील्ड अनुमतियाँ, एमएफए की कमी और संवेदनशील डेटा तक अत्यधिक पहुंच शामिल है। पिछले साल ओडासेवा द्वारा किए गए एक अध्ययन में 48% उत्तरदाताओं ने कहा था कि उनके संगठन ने पिछले 12 महीनों में रैंसमवेयर हमले का अनुभव किया था और SaaS डेटा लक्ष्य था आधे से अधिक (51%) हमलों में।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- ईवीएम वित्त। विकेंद्रीकृत वित्त के लिए एकीकृत इंटरफ़ेस। यहां पहुंचें।
- क्वांटम मीडिया समूह। आईआर/पीआर प्रवर्धित। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :हैस
- :है
- :नहीं
- 1
- 12
- 12 महीने
- 200
- 2023
- 7
- a
- पहुँच
- सुलभ
- तक पहुँचने
- अनुसार
- लेखा
- अकौन्टस(लेखा)
- के पार
- सक्रिय
- अभिनेताओं
- अतिरिक्त
- पता
- व्यवस्थापक
- प्रशासनिक
- प्रशासकों
- के खिलाफ
- सब
- की अनुमति देता है
- भी
- के बीच में
- an
- विश्लेषण किया
- और
- अन्य
- प्रकट होता है
- आवेदन
- अनुप्रयोगों
- हैं
- AS
- जुड़े
- At
- आक्रमण
- आक्रमण
- ध्यान
- प्रमाणीकरण
- स्वचालित
- उपलब्ध
- बुरा
- बुनियादी
- मूल रूप से
- BE
- क्योंकि
- किया गया
- शुरू किया
- BEST
- व्यापार
- व्यावसायिक कार्य
- by
- बुलाया
- क्षमताओं
- मामला
- ग्राहक
- सह-संस्थापक
- संग्रह
- संग्रह
- संयुक्त
- समुदाय
- कंपनियों
- कंपनी
- पूरा
- समझौता
- छेड़छाड़ की गई
- समझौता
- संचालित
- नियंत्रण
- बनाना
- बनाया
- क्रेडेंशियल
- साख
- तिथि
- डेटा सेट
- विभागों
- वर्णन
- डेवलपर्स
- डीआईडी
- डाउनलोड
- प्रयासों
- ऊपर उठाना
- सक्षम
- endpoint
- एंडपॉइंट सुरक्षा
- पर्याप्त
- सुनिश्चित
- उद्यम
- संपूर्ण
- पूरी तरह से
- वातावरण
- वातावरण
- विशेष रूप से
- अंत में
- एक्सचेंज
- मार डाला
- एक्सफ़िलिएशन
- मौजूदा
- अनुभवी
- विशेषज्ञों
- बलाद्ग्रहण
- की सुविधा
- तथ्य
- खेत
- फ़ाइलें
- फर्म
- प्रथम
- फोकस
- के लिए
- से
- कार्यों
- वैश्विक
- अच्छा
- अनुदान
- दी गई
- समूह
- समूह की
- बढ़ रहा है
- अतिथि
- था
- आधा
- हुआ
- है
- he
- मदद की
- मेजबान
- होस्टिंग
- कैसे
- http
- HTTPS
- सैकड़ों
- कार्यान्वयन
- in
- शामिल
- तेजी
- करें-
- सूचित
- उदाहरण
- बजाय
- बातचीत
- ब्याज
- इंटरनेट
- में
- निवेश
- प्रतिसाद नहीं
- IT
- आईटी इस
- जेपीजी
- केवल
- बच्चा
- ज्ञान
- रंग
- बड़ा
- पिछली बार
- पिछले साल
- ताज़ा
- लाभ
- पुस्तकालयों
- लॉग इन
- प्रबंध
- प्रबंधन उपकरण
- बहुत
- मार्च
- मार्च 1
- माप
- तंत्र
- एमएफए
- माइक्रोसॉफ्ट
- कम करना
- मॉड्यूल
- महीने
- अधिक
- अधिकांश
- आंदोलन
- बहुत
- विभिन्न
- आवश्यक
- आवश्यकता
- जरूरत
- ज़रूरत
- नया
- नए नए
- नोड
- Node.js
- अभी
- वस्तु
- प्राप्त करने के
- घटनेवाला
- of
- बंद
- on
- ONE
- ऑनलाइन
- केवल
- or
- संगठन
- संगठनों
- अन्य
- हमारी
- के ऊपर
- मालिक
- वेतन
- अवधि
- अनुमतियाँ
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- तैयार
- को रोकने के
- पिछला
- प्राथमिक
- निजी
- विशेषाधिकृत
- विशेषाधिकारों
- प्रोएक्टिव
- सुरक्षा
- बशर्ते
- सार्वजनिक
- सार्वजनिक रूप से
- लाना
- फिरौती
- Ransomware
- रैंसमवेयर अटैक
- RE
- दर्ज
- विनियमित
- हटाना
- रिपोर्ट
- की सूचना दी
- अनुरोधों
- शोधकर्ताओं
- उपयुक्त संसाधन चुनें
- उत्तरदाताओं
- सही
- जोखिम
- जोखिम प्रबंधन
- RU
- रूस
- s
- सास
- salesforce
- वही
- कहावत
- कहते हैं
- लिपियों
- सिक्योर्ड
- सुरक्षा
- देखकर
- संवेदनशील
- भेजा
- सेवा
- सेट
- सेटिंग्स
- Share
- दिखाता है
- समान
- सरल
- के बाद से
- साइट
- साइटें
- छह
- छह महीने
- कुछ
- कुछ
- कुछ हद तक
- उपजी
- भंडारण
- अध्ययन
- सफलतापूर्वक
- को लक्षित
- टीमों
- टेक्नोलॉजीज
- से
- कि
- RSI
- लेकिन हाल ही
- उन
- अपने
- फिर
- वहाँ।
- इन
- वे
- चीज़ें
- इसका
- हजारों
- धमकी
- खतरों के खिलाड़ी
- यहाँ
- सेवा मेरे
- उपकरण
- प्रवृत्ति
- दो
- अज्ञात
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- का उपयोग
- आमतौर पर
- बहुत
- शिकार
- वास्तविक
- था
- we
- वेब
- वेब एप्लीकेशन
- क्या
- कौन कौन से
- पूरा का पूरा
- साथ में
- अंदर
- बिना
- वर्ष
- साल
- जेफिरनेट