ব্ল্যাকক্যাট/এএলপিএইচভি গ্যাং র‍্যানসমওয়্যার কৌশল প্ল্যাটোব্লকচেন ডেটা ইন্টেলিজেন্স হিসাবে ওয়াইপার কার্যকারিতা যুক্ত করে। উল্লম্ব অনুসন্ধান. আ.

BlackCat/ALPHV গ্যাং র‍্যানসমওয়্যার কৌশল হিসাবে ওয়াইপার কার্যকারিতা যুক্ত করে

সময় স্ট্যাম্প: 27 সেপ্টেম্বর, 2022 9:51 পূর্বাহ্ন

ব্ল্যাকক্যাট/এএলপিএইচভি দ্বারা পরিচালিত ম্যালওয়্যার শুধুমাত্র এনক্রিপ্ট করার পরিবর্তে একটি সংস্থার ডেটা মুছে এবং ধ্বংস করে র্যানসমওয়্যার গেমটিতে একটি নতুন স্পিন স্থাপন করছে। গবেষকদের মতে, উন্নয়নটি আর্থিকভাবে অনুপ্রাণিত সাইবার আক্রমণগুলি যে দিকে যাচ্ছে তার একটি আভাস দেয়।

নিরাপত্তা সংস্থা Cyderes এবং Stairwell-এর গবেষকরা ব্ল্যাকক্যাট/ALPHV র‍্যানসমওয়্যার এক্সম্যাটার নামক একটি .NET এক্সফিল্ট্রেশন টুল নিযুক্ত করা দেখেছেন যা নির্বাচিত ডিরেক্টরি থেকে নির্দিষ্ট ফাইলের ধরন অনুসন্ধান করে, আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে আপলোড করে, এবং তারপর ফাইলগুলিকে দূষিত করে এবং ধ্বংস করে। . ডেটা পুনরুদ্ধার করার একমাত্র উপায় হল গ্যাং থেকে বহিষ্কৃত ফাইলগুলি ক্রয় করা।

"র্যানসমওয়্যার যেখানে যাচ্ছে সেখানে ডেটা ধ্বংস করার গুজব রয়েছে, কিন্তু আমরা আসলে এটি বন্যের মধ্যে দেখিনি," একটি অনুসারে ব্লগ পোস্ট Cyderes ওয়েবসাইটে সম্প্রতি প্রকাশিত. এক্সম্যাটার ইঙ্গিত দিতে পারে যে সুইচটি ঘটছে, এটি প্রদর্শন করে যে হুমকি অভিনেতারা সক্রিয়ভাবে স্টেজিং এবং এই ধরনের ক্ষমতা বিকাশের প্রক্রিয়ায় রয়েছে, গবেষকরা বলেছেন।

সাইডেরেস গবেষকরা এক্সম্যাটারের একটি প্রাথমিক মূল্যায়ন করেন, তারপরে স্টেয়ারওয়েলের থ্রেট রিসার্চ টিম ম্যালওয়্যার বিশ্লেষণ করার পরে "আংশিকভাবে-বাস্তবায়িত ডেটা ধ্বংস কার্যকারিতা" আবিষ্কার করে, অনুযায়ী একটি সহচর ব্লগ পোস্টে.

"র্যানসমওয়্যার-এ-সার্ভিস (RaaS) স্থাপনার পরিবর্তে অ্যাফিলিয়েট-লেভেল অভিনেতাদের দ্বারা ডেটা ধ্বংসের ব্যবহার ডেটা চাঁদাবাজি ল্যান্ডস্কেপে একটি বড় পরিবর্তন চিহ্নিত করবে, এবং বর্তমানে কাজ করছে আর্থিকভাবে-প্রণোদিত অনুপ্রবেশ অভিনেতাদের বলকানাইজেশনের সংকেত দেবে৷ RaaS অ্যাফিলিয়েট প্রোগ্রামের ব্যানার,” Stairwell হুমকি গবেষক ড্যানিয়েল মায়ার এবং Shelby Kaba, Cyderes-এর স্পেশাল অপারেশন ডিরেক্টর পোস্টে উল্লেখ করেছেন।

এক্সম্যাটারে এই নতুন ক্ষমতার উত্থানটি দ্রুত বিকশিত এবং ক্রমবর্ধমান পরিশীলিত হুমকির ল্যান্ডস্কেপের একটি অনুস্মারক কারণ হুমকি অভিনেতারা তাদের কার্যকলাপকে অপরাধী করার জন্য আরও সৃজনশীল উপায় খুঁজে বের করার জন্য পিভট করে, একজন নিরাপত্তা বিশেষজ্ঞ নোট করেছেন।

"জনপ্রিয় বিশ্বাসের বিপরীতে, আধুনিক আক্রমণগুলি সর্বদা কেবল ডেটা চুরি করার জন্য নয়, তবে ধ্বংস, বিঘ্ন, ডেটা অস্ত্রায়ন, বিভ্রান্তি এবং/অথবা প্রচারের বিষয়ে হতে পারে," রাজীব পিমপ্লাসকার, নিরাপদ যোগাযোগ প্রদানকারী ডিসপারসিভ হোল্ডিংসের সিইও, ডার্ক রিডিংকে বলেছেন৷

এই ক্রমবর্ধমান হুমকিগুলি দাবি করে যে এন্টারপ্রাইজগুলিকে অবশ্যই তাদের প্রতিরক্ষাকে তীক্ষ্ণ করতে হবে এবং উন্নত সুরক্ষা সমাধানগুলি স্থাপন করতে হবে যা তাদের নিজ নিজ আক্রমণের পৃষ্ঠকে শক্ত করে এবং সংবেদনশীল সংস্থানগুলিকে অস্পষ্ট করে, যা তাদের প্রথম স্থানে আক্রমণ করা কঠিন লক্ষ্যবস্তুতে পরিণত করবে, পিমপ্লাসকার যোগ করেন।

ব্ল্যাকমেটারের সাথে পূর্ববর্তী সম্পর্ক

এক্সম্যাটারের গবেষকদের বিশ্লেষণ প্রথমবার নয় যে এই নামের একটি টুল BlackCat/ALPHV-এর সাথে যুক্ত হয়েছে। সেই দলটি — বর্তমানে বিলুপ্ত হওয়া সহ বিভিন্ন র্যানসমওয়্যার গ্যাংয়ের প্রাক্তন সদস্যদের দ্বারা পরিচালিত বলে বিশ্বাস করা হয় ব্ল্যাকমেটার - ডবল চাঁদাবাজির আক্রমণে র‍্যানসমওয়্যার মোতায়েন করার আগে, গত ডিসেম্বর এবং জানুয়ারিতে কর্পোরেট ভিকটিমদের কাছ থেকে ডেটা বের করার জন্য এক্সম্যাটার ব্যবহার করেছিল, ক্যাসপারস্কির গবেষকরা পূর্বে রিপোর্ট.

প্রকৃতপক্ষে, ক্যাসপারস্কি ব্ল্যাকক্যাট/এএলপিএইচভি কার্যকলাপের সাথে যুক্ত করতে এক্সম্যাটার ব্যবহার করে, যা ফেন্ডার নামেও পরিচিত ব্ল্যাকমেটার হুমকি সংক্ষিপ্ত মধ্যে, যা এই বছরের শুরুতে প্রকাশিত হয়েছিল।

এক্সম্যাটারের নমুনা যা স্টেরওয়েল এবং সাইডেরেস গবেষকরা পরীক্ষা করেছেন তা হল একটি .NET এক্সিকিউটেবল যা FTP, SFTP এবং ওয়েবডিএভি প্রোটোকল ব্যবহার করে ডেটা এক্সফিল্ট্রেশনের জন্য ডিজাইন করা হয়েছে এবং এতে এক্সফিল্ট্রেট করা ডিস্কের ফাইলগুলিকে দূষিত করার কার্যকারিতা রয়েছে, মায়ার ব্যাখ্যা করেছেন। এটি একই নামের BlackMatter এর টুলের সাথে সারিবদ্ধ।

এক্সম্যাটার ডেস্ট্রাক্টর কিভাবে কাজ করে

"সিঙ্ক" নামের একটি রুটিন ব্যবহার করে, ম্যালওয়্যার শিকার মেশিনে ড্রাইভের মাধ্যমে পুনরাবৃত্তি করে, এক্সফিল্ট্রেশনের জন্য নির্দিষ্ট এবং নির্দিষ্ট ফাইল এক্সটেনশনের ফাইলগুলির একটি সারি তৈরি করে, যদি না সেগুলি ম্যালওয়্যারের হার্ডকোড ব্লকলিস্টে নির্দিষ্ট একটি ডিরেক্টরিতে থাকে।

এক্সম্যাটার সারিবদ্ধ ফাইলগুলিকে আক্রমণকারী-নিয়ন্ত্রিত আইপি ঠিকানায় আপলোড করার মাধ্যমে বহিষ্কার করতে পারে, মায়ার বলেন।

"অভিনেতা-নিয়ন্ত্রিত সার্ভারে ভিকটিম মেশিনের হোস্টনামের মতো একই নামের একটি ফোল্ডারে এক্সফিল্ট করা ফাইলগুলি লেখা হয়," তিনি পোস্টে ব্যাখ্যা করেছিলেন।

ডেটা-ধ্বংস প্রক্রিয়াটি "ইরেজার" নামের নমুনার মধ্যে সংজ্ঞায়িত একটি শ্রেণীর মধ্যে রয়েছে যা সিঙ্কের সাথে একযোগে চালানোর জন্য ডিজাইন করা হয়েছে, গবেষকরা বলেছেন। যেহেতু সিঙ্ক অ্যাক্টর-নিয়ন্ত্রিত সার্ভারে ফাইলগুলি আপলোড করে, এটি ইরেজার দ্বারা প্রক্রিয়া করার জন্য ফাইলগুলির একটি সারিতে সফলভাবে অনুলিপি করা ফাইলগুলিকে যুক্ত করে, মায়ার ব্যাখ্যা করেছেন৷

ইরেজার সারি থেকে এলোমেলোভাবে দুটি ফাইল নির্বাচন করে এবং দ্বিতীয় ফাইলের শুরু থেকে নেওয়া কোডের একটি অংশ দিয়ে ফাইল 1 ওভাররাইট করে, একটি দুর্নীতির কৌশল যা একটি ফাঁকি কৌশল হিসাবে অভিপ্রেত হতে পারে, তিনি উল্লেখ করেছেন।

"অন্যান্য ফাইলগুলিকে দূষিত করার জন্য শিকার মেশিনের বৈধ ফাইল ডেটা ব্যবহার করার কাজটি র্যানসমওয়্যার এবং ওয়াইপারগুলির জন্য হিউরিস্টিক-ভিত্তিক সনাক্তকরণ এড়াতে একটি কৌশল হতে পারে," মায়ার লিখেছেন, "একটি ফাইল থেকে অন্য ফাইলে ফাইলের ডেটা অনুলিপি করা অনেক বেশি প্রশংসনীয়ভাবে সৌম্য। এলোমেলো ডেটা সহ ফাইলগুলিকে ওভাররাইট করা বা সেগুলিকে এনক্রিপ্ট করার তুলনায় কার্যকারিতা।" মায়ার লিখেছেন।

কাজ চলছে

গবেষকরা উল্লেখ করেছেন যে এক্সম্যাটারের ডেটা-দুর্নীতির কৌশলটি একটি কাজ চলছে এবং এইভাবে এখনও র্যানসমওয়্যার গ্রুপ দ্বারা বিকাশ করা হচ্ছে তা নির্দেশ করার জন্য অনেকগুলি সূত্র রয়েছে।

নমুনার একটি আর্টিফ্যাক্ট যা এটি নির্দেশ করে তা হল যে দ্বিতীয় ফাইলের খণ্ডের দৈর্ঘ্য, যা প্রথম ফাইলটি ওভাররাইট করতে ব্যবহৃত হয়, এলোমেলোভাবে সিদ্ধান্ত নেওয়া হয় এবং এটি 1 বাইট লম্বা হতে পারে।

ডেটা-ধ্বংস প্রক্রিয়ার দুর্নীতির সারি থেকে ফাইলগুলি সরানোর জন্য কোনও ব্যবস্থা নেই, যার অর্থ প্রোগ্রামটি শেষ হওয়ার আগে কিছু ফাইল বহুবার ওভাররাইট করা হতে পারে, অন্যগুলি কখনই নির্বাচন করা হয়নি, গবেষকরা উল্লেখ করেছেন।

তদুপরি, যে ফাংশনটি ইরেজার ক্লাসের উদাহরণ তৈরি করে — যথাযথভাবে নামকরণ করা হয়েছে “ইরেজ” — গবেষকরা যে নমুনা বিশ্লেষণ করেছেন তাতে সম্পূর্ণরূপে প্রয়োগ করা হয়েছে বলে মনে হচ্ছে না, কারণ এটি সঠিকভাবে কম্পাইল হয় না, তারা বলেছে।

কেন এনক্রিপ্টের পরিবর্তে ধ্বংস?

উন্নয়নশীল ডেটা-দুর্নীতি এবং ধ্বংস ক্ষমতা র্যানসমওয়্যার অভিনেতাদের জন্য ডেটা এনক্রিপ্ট করার পরিবর্তে অনেকগুলি সুবিধা রয়েছে, গবেষকরা উল্লেখ করেছেন, বিশেষত ডেটা অপসারণ এবং দ্বিগুণ চাঁদাবাজি (অর্থাৎ, চুরি করা ডেটা ফাঁস করার হুমকি) হুমকি অভিনেতাদের একটি সাধারণ আচরণে পরিণত হয়েছে। এটি স্থিতিশীল, সুরক্ষিত এবং দ্রুত র্যানসমওয়্যারকে এনক্রিপ্ট করার জন্য অপ্রয়োজনীয় এবং ব্যয়বহুল ফাইলগুলিকে দূষিত ফাইলের তুলনায় এবং এক্সফিল্ট্রেটেড কপিগুলিকে ডেটা পুনরুদ্ধারের উপায় হিসাবে ব্যবহার করার জন্য তৈরি করেছে, তারা বলেছে।

এনক্রিপশন সম্পূর্ণভাবে বাদ দেওয়াও RaaS সহযোগীদের জন্য প্রক্রিয়াটিকে দ্রুততর করে তুলতে পারে, এমন পরিস্থিতিতে এড়িয়ে যেতে পারে যেখানে তারা লাভ হারায় কারণ ক্ষতিগ্রস্তরা ডেটা ডিক্রিপ্ট করার অন্যান্য উপায় খুঁজে বের করে, গবেষকরা উল্লেখ করেছেন।

"এই কারণগুলি একটি ন্যায্য ক্ষেত্রে পরিণত হয় অ্যাফিলিয়েটদের জন্য RaaS মডেলকে তাদের নিজস্বভাবে আঘাত করার জন্য ছেড়ে দেয়," মায়ার পর্যবেক্ষণ করেন, "ডেভেলপমেন্ট-হেভি র্যানসমওয়্যারকে ডেটা ধ্বংসের সাথে প্রতিস্থাপন করে।" 

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া