শক্তিশালী ক্যাওস ম্যালওয়্যারটি আবারও বিবর্তিত হয়েছে, একটি নতুন গো-ভিত্তিক, মাল্টিপ্ল্যাটফর্ম হুমকিতে রূপান্তরিত হয়েছে যা এর আগের র্যানসমওয়্যার পুনরাবৃত্তির সাথে কোন মিল নেই। এটি এখন ডিস্ট্রিবিউটেড ডিনায়েল-অফ-সার্ভিস (DDoS) আক্রমণ শুরু করতে এবং ক্রিপ্টোমিনিং সঞ্চালনের জন্য পরিচিত নিরাপত্তা দুর্বলতাগুলিকে লক্ষ্য করে।
লুমেন টেকনোলজিসের হুমকি গোয়েন্দা শাখা ব্ল্যাক লোটাস ল্যাবসের গবেষকরা সম্প্রতি চীনা ভাষায় লেখা ক্যাওস-এর একটি সংস্করণ পর্যবেক্ষণ করেছেন, যা চীন-ভিত্তিক অবকাঠামো ব্যবহার করে এবং একই নামের র্যানসমওয়্যার-নির্মাতাদের দ্বারা দেখা শেষ কার্যকলাপের চেয়ে অনেক ভিন্ন আচরণ প্রদর্শন করে, তারা বলেছিল একটি ব্লগ পোস্টে 28 সেপ্টেম্বর প্রকাশিত।
প্রকৃতপক্ষে, ক্যাওসের পূর্ববর্তী রূপ এবং 100টি স্বতন্ত্র এবং সাম্প্রতিক ক্যাওস ক্লাস্টারের মধ্যে পার্থক্য যা গবেষকরা পর্যবেক্ষণ করেছেন তা এতই আলাদা যে তারা বলে যে এটি একেবারে নতুন হুমকি সৃষ্টি করেছে। প্রকৃতপক্ষে, গবেষকরা বিশ্বাস করেন যে সর্বশেষ বৈকল্পিকটি আসলে এর বিবর্তন DDoS বটনেট কাইজি এবং সম্ভবত "ক্যাওস র্যানসমওয়্যার নির্মাতার থেকে আলাদা" আগে বন্যতে দেখা গিয়েছিল, তারা বলেছিল।
2020 সালে আবিষ্কৃত Kaiji, মূলত লিনাক্স-ভিত্তিক AMD এবং i386 সার্ভারগুলিকে লক্ষ্য করে SSH ব্রুট-ফোর্সিং ব্যবহার করে নতুন বটগুলিকে সংক্রামিত করতে এবং তারপর DDoS আক্রমণ শুরু করে। ক্যাওস নতুন আর্কিটেকচারের জন্য মডিউলগুলি অন্তর্ভুক্ত করার জন্য কাইজির মূল ক্ষমতাগুলিকে বিকশিত করেছে — উইন্ডোজ সহ — সেইসাথে সিভিই শোষণ এবং এসএসএইচ কী সংগ্রহের মাধ্যমে নতুন প্রচার মডিউল যুক্ত করেছে, গবেষকরা বলেছেন।
সাম্প্রতিক বিশৃঙ্খলা কার্যকলাপ
সাম্প্রতিক কার্যকলাপে, ক্যাওস সফলভাবে একটি GitLab সার্ভারের সাথে আপস করেছে এবং DDoS-এ-সার্ভিস প্রোভাইডার এবং একটি ক্রিপ্টোকারেন্সি এক্সচেঞ্জের সাথে গেমিং, আর্থিক পরিষেবা এবং প্রযুক্তি এবং মিডিয়া এবং বিনোদন শিল্পগুলিকে লক্ষ্য করে DDoS আক্রমণের ঝাঁকুনি দিয়েছে৷
ক্যাওস এখন শুধুমাত্র এন্টারপ্রাইজ এবং বড় প্রতিষ্ঠানকেই লক্ষ্যবস্তু করছে না বরং “এসওএইচও রাউটার এবং ফ্রিবিএসডি ওএসের মতো এন্টারপ্রাইজ সিকিউরিটি মডেলের অংশ হিসাবে নিয়মিতভাবে পর্যবেক্ষণ করা হয় না এমন ডিভাইস এবং সিস্টেমগুলিকেও লক্ষ্য করছে,” গবেষকরা বলেছেন।
এবং যখন শেষবার ক্যাওসকে বনে দেখা গিয়েছিল তখন এটি সাধারণ র্যানসমওয়্যার হিসাবে কাজ করেছিল যা ফাইলগুলি এনক্রিপ্ট করার উদ্দেশ্যে নেটওয়ার্কগুলিতে প্রবেশ করেছিল, সাম্প্রতিক সংস্করণটির পিছনে অভিনেতাদের মনে খুব আলাদা উদ্দেশ্য রয়েছে, গবেষকরা বলেছেন।
এর ক্রস-প্ল্যাটফর্ম এবং ডিভাইসের কার্যকারিতা এবং সেইসাথে সর্বশেষ ক্যাওস কার্যকলাপের পিছনে নেটওয়ার্ক অবকাঠামোর স্টিলথ প্রোফাইল দেখায় যে প্রচারণার লক্ষ্য হল প্রাথমিক অ্যাক্সেস, DDoS আক্রমণ এবং ক্রিপ্টোমিনিং এর সুবিধার জন্য সংক্রামিত ডিভাইসগুলির একটি নেটওয়ার্ক গড়ে তোলা। , গবেষকদের মতে।
মূল পার্থক্য, এবং একটি সাদৃশ্য
যদিও ক্যাওসের পূর্ববর্তী নমুনাগুলি .NET-তে লেখা হয়েছিল, সর্বশেষ ম্যালওয়্যারটি Go-তে লেখা হয়েছে, যা দ্রুত একটি হয়ে উঠছে পছন্দের ভাষা এর ক্রস-প্ল্যাটফর্ম নমনীয়তা, কম অ্যান্টিভাইরাস সনাক্তকরণ হার এবং বিপরীত প্রকৌশলী করতে অসুবিধার কারণে হুমকি অভিনেতাদের জন্য, গবেষকরা বলেছেন।
এবং প্রকৃতপক্ষে, ক্যাওসের সর্বশেষ সংস্করণটি এত শক্তিশালী হওয়ার একটি কারণ হল এটি শুধুমাত্র উইন্ডোজ এবং লিনাক্স অপারেটিং সিস্টেম নয় বরং ARM, Intel (i386), MIPS এবং PowerPC সহ একাধিক প্ল্যাটফর্ম জুড়ে কাজ করে, তারা বলেছে।
এটি ম্যালওয়্যারের পূর্ববর্তী সংস্করণগুলির তুলনায় অনেক ভিন্ন উপায়ে প্রচার করে। যদিও গবেষকরা এর প্রাথমিক অ্যাক্সেস ভেক্টর নিশ্চিত করতে অক্ষম ছিলেন, একবার এটি একটি সিস্টেমকে ধরে নেয়, সর্বশেষ ক্যাওস রূপগুলি পরিচিত দুর্বলতাগুলিকে এমনভাবে কাজে লাগায় যা দ্রুত পিভট করার ক্ষমতা দেখায়, গবেষকরা উল্লেখ করেছেন।
“আমরা যে নমুনাগুলি বিশ্লেষণ করেছি তার মধ্যে রিপোর্ট করা হয়েছিল হুয়াওয়ের জন্য সিভিই (জন্য CVE-2017-17215) এবং Zyxel (জন্য CVE-2022-30525) ব্যক্তিগত ফায়ারওয়াল, উভয়ই অননুমোদিত রিমোট কমান্ড লাইন ইনজেকশন দুর্বলতাগুলিকে ব্যবহার করে," তারা তাদের পোস্টে পর্যবেক্ষণ করেছে। "তবে, অভিনেতার জন্য আপডেট করার জন্য CVE ফাইলটি তুচ্ছ বলে মনে হচ্ছে, এবং আমরা মূল্যায়ন করি যে এটি সম্ভবত অভিনেতা অন্যান্য CVEগুলিকে ব্যবহার করে।"
2021 সালের জুনে প্রথম আবির্ভূত হওয়ার পর থেকে বিশৃঙ্খলা প্রকৃতপক্ষে অসংখ্য অবতারের মধ্য দিয়ে গেছে এবং এই সর্বশেষ সংস্করণটি শেষ হওয়ার সম্ভাবনা নেই, গবেষকরা বলেছেন। এটির প্রথম পুনরাবৃত্তি, ক্যাওস বিল্ডার 1.0-3.0, Ryuk ransomware-এর একটি .NET সংস্করণের জন্য একজন নির্মাতা বলে ধারণা করা হয়েছিল, কিন্তু গবেষকরা শীঘ্রই লক্ষ্য করেছিলেন যে এটি Ryuk-এর সাথে সামান্য সাদৃশ্যপূর্ণ এবং আসলে এটি একটি ওয়াইপার ছিল।
ম্যালওয়্যারটি 2021 সালের শেষের দিকে প্রকাশিত ক্যাওস বিল্ডারের সংস্করণ চার পর্যন্ত বেশ কয়েকটি সংস্করণ জুড়ে বিবর্তিত হয়েছিল এবং যখন Onyx নামে একটি হুমকি গোষ্ঠী তার নিজস্ব ransomware তৈরি করেছিল তখন এটি বৃদ্ধি পেয়েছিল। এই সংস্করণটি দ্রুত বন্য অঞ্চলে সরাসরি পর্যবেক্ষণ করা সবচেয়ে সাধারণ ক্যাওস সংস্করণে পরিণত হয়েছে, কিছু ফাইল এনক্রিপ্ট করে কিন্তু ওভাররাইট করা বজায় রাখে এবং এর পথে থাকা বেশিরভাগ ফাইল ধ্বংস করে।
এর আগে চলতি বছরের মে মাসে কেওস নির্মাতা ড এনক্রিপশনের জন্য এর ওয়াইপার ক্ষমতাগুলি ব্যবসা করেছে, একটি পুনঃব্র্যান্ডেড বাইনারি ডাবড Yashma এর সাথে সারফেসিং যা সম্পূর্ণরূপে উন্নত র্যানসমওয়্যার ক্ষমতা অন্তর্ভুক্ত করে।
যদিও ব্ল্যাক লোটাস ল্যাবস দ্বারা প্রত্যক্ষ করা বিশৃঙ্খলার সাম্প্রতিকতম বিবর্তনটি অনেক আলাদা, এর পূর্বসূরীদের সাথে এর একটি উল্লেখযোগ্য মিল রয়েছে - দ্রুত বৃদ্ধি যা শীঘ্রই যে কোনও সময় ধীর হওয়ার সম্ভাবনা নেই, গবেষকরা বলেছেন।
সর্বশেষ ক্যাওস ভেরিয়েন্টের প্রথম শংসাপত্রটি এপ্রিল 16-এ তৈরি হয়েছিল; এটি পরবর্তীকালে যখন গবেষকরা বিশ্বাস করেন যে হুমকি অভিনেতারা বন্যের মধ্যে নতুন বৈকল্পিক চালু করেছে।
তারপর থেকে, ক্যাওস স্ব-স্বাক্ষরিত শংসাপত্রের সংখ্যা "চিহ্নিত বৃদ্ধি" দেখিয়েছে, মে মাসে দ্বিগুণ থেকে 39-এ এবং তারপরে আগস্ট মাসের জন্য 93-তে লাফিয়েছে, গবেষকরা বলেছেন। 20 সেপ্টেম্বর পর্যন্ত, বর্তমান মাসটি ইতিমধ্যেই 94টি ক্যাওস সার্টিফিকেট তৈরি করে আগের মাসের মোটকে ছাড়িয়ে গেছে, তারা বলেছে।
বোর্ড জুড়ে ঝুঁকি হ্রাস করা
কারণ ক্যাওস এখন সবচেয়ে ছোট হোম অফিস থেকে শুরু করে বৃহত্তম উদ্যোগে শিকারদের আক্রমণ করছে, গবেষকরা প্রতিটি ধরনের লক্ষ্যের জন্য নির্দিষ্ট সুপারিশ করেছেন।
যারা রক্ষাকারী নেটওয়ার্কগুলির জন্য, তারা পরামর্শ দিয়েছে যে নেটওয়ার্ক অ্যাডমিনিস্ট্রেটররা নতুন আবিষ্কৃত দুর্বলতার জন্য প্যাচ ম্যানেজমেন্টের শীর্ষে থাকবেন, কারণ এটি একটি প্রধান উপায় যা বিশৃঙ্খলা ছড়ায়।
"এই প্রতিবেদনে বর্ণিত IoCs ব্যবহার করুন একটি বিশৃঙ্খলা সংক্রমণ, সেইসাথে যে কোনও সন্দেহজনক অবকাঠামোর সাথে সংযোগের জন্য নজরদারি করার জন্য," গবেষকরা সুপারিশ করেছেন।
ছোট অফিস এবং হোম অফিস রাউটার সহ গ্রাহকদের নিয়মিতভাবে রাউটার রিবুট করার এবং নিরাপত্তা আপডেট এবং প্যাচ ইনস্টল করার পাশাপাশি হোস্টগুলিতে সঠিকভাবে কনফিগার করা এবং আপডেট করা EDR সমাধানগুলি ব্যবহার করার সর্বোত্তম অনুশীলনগুলি অনুসরণ করা উচিত। এই ব্যবহারকারীদেরও যেখানে প্রযোজ্য সেখানে বিক্রেতাদের আপডেটগুলি প্রয়োগ করে নিয়মিত সফ্টওয়্যার প্যাচ করা উচিত।
রিমোট শ্রমিক - একটি আক্রমণের পৃষ্ঠ যা মহামারীর গত দুই বছরে উল্লেখযোগ্যভাবে বৃদ্ধি পেয়েছে - এছাড়াও ঝুঁকির মধ্যে রয়েছে এবং ডিফল্ট পাসওয়ার্ড পরিবর্তন করে এবং এটির প্রয়োজন নেই এমন মেশিনে দূরবর্তী রুট অ্যাক্সেস অক্ষম করে এটি প্রশমিত করা উচিত, গবেষকরা সুপারিশ করেছেন। এই ধরনের কর্মীদেরও নিরাপদে SSH কীগুলি সংরক্ষণ করা উচিত এবং শুধুমাত্র যে ডিভাইসগুলির প্রয়োজন হয় সেগুলিতে।
সমস্ত ব্যবসার জন্য, ব্ল্যাক লোটাস ল্যাবস তাদের সামগ্রিক নিরাপত্তা ভঙ্গি জোরদার করতে এবং নেটওয়ার্ক-ভিত্তিক যোগাযোগে শক্তিশালী সনাক্তকরণ সক্ষম করতে ব্যাপক নিরাপদ অ্যাক্সেস পরিষেবা প্রান্ত (SASE) এবং DDoS প্রশমন সুরক্ষার প্রয়োগ বিবেচনা করার পরামর্শ দেয়।
