এফবিআই, ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ), এবং ট্রেজারি ডিপার্টমেন্ট বুধবার উত্তর কোরিয়ার রাষ্ট্রীয় পৃষ্ঠপোষকতাকারী হুমকি অভিনেতারা মার্কিন স্বাস্থ্যসেবা এবং জনস্বাস্থ্য খাতে সংস্থাগুলিকে লক্ষ্য করে সতর্ক করেছে। আক্রমণগুলি "মাউই" নামক কিছুটা অস্বাভাবিক, ম্যানুয়ালি চালিত নতুন র্যানসমওয়্যার টুল দিয়ে করা হচ্ছে।
মে 2021 সাল থেকে, এমন একাধিক ঘটনা ঘটেছে যেখানে ম্যালওয়্যার পরিচালনাকারী হুমকি অভিনেতারা এনক্রিপ্ট করা সার্ভারগুলিকে গুরুত্বপূর্ণ স্বাস্থ্যসেবা পরিষেবার জন্য দায়ী করেছে, যার মধ্যে রয়েছে ডায়াগনস্টিক পরিষেবা, ইলেকট্রনিক হেলথ রেকর্ড সার্ভার এবং টার্গেট করা সেক্টরের সংস্থাগুলির ইমেজিং সার্ভার৷ কিছু ক্ষেত্রে, মাউই আক্রমণ দীর্ঘ সময়ের জন্য ক্ষতিগ্রস্ত সংস্থাগুলিতে পরিষেবা ব্যাহত করেছে, তিনটি সংস্থা একটি পরামর্শে বলেছে।
"উত্তর কোরিয়ার রাষ্ট্র-স্পন্সরকৃত সাইবার অ্যাক্টররা সম্ভবত মনে করে যে স্বাস্থ্যসেবা সংস্থাগুলি মুক্তিপণ দিতে ইচ্ছুক কারণ এই সংস্থাগুলি এমন পরিষেবা সরবরাহ করে যা মানুষের জীবন এবং স্বাস্থ্যের জন্য গুরুত্বপূর্ণ," পরামর্শ অনুসারে। "এই অনুমানের কারণে, এফবিআই, সিআইএসএ এবং ট্রেজারি উত্তর কোরিয়ার রাষ্ট্র-স্পন্সর অভিনেতাদের মূল্যায়ন করে লক্ষ্যবস্তু চালিয়ে যাওয়ার সম্ভাবনা রয়েছে [স্বাস্থ্যসেবা এবং জনস্বাস্থ্য] সেক্টর সংস্থাগুলি।"
ম্যানুয়াল অপারেশন জন্য ডিজাইন
6 জুলাই একটি প্রযুক্তিগত বিশ্লেষণে, নিরাপত্তা সংস্থা স্টেরওয়েল মাউইকে র্যানসমওয়্যার হিসাবে বর্ণনা করেছে যা অন্যান্য র্যানসমওয়্যার সরঞ্জামগুলিতে সাধারণত উপস্থিত বৈশিষ্ট্যগুলির অভাবের জন্য উল্লেখযোগ্য। উদাহরণস্বরূপ, মাউই-এর কাছে সাধারণ এমবেডেড র্যানসমওয়্যার নোট নেই যাতে ক্ষতিগ্রস্তদের তথ্য পুনরুদ্ধার করা যায়। স্বয়ংক্রিয় ফ্যাশনে হ্যাকারদের কাছে এনক্রিপশন কী প্রেরণের জন্য এটিতে কোনও অন্তর্নির্মিত কার্যকারিতা রয়েছে বলে মনে হয় না।
পরিবর্তে ম্যালওয়্যার ম্যানুয়াল এক্সিকিউশনের জন্য ডিজাইন করা হয়েছে, যেখানে একটি দূরবর্তী আক্রমণকারী কমান্ড লাইন ইন্টারফেসের মাধ্যমে Maui এর সাথে যোগাযোগ করে এবং সংক্রামিত মেশিনে নির্বাচিত ফাইলগুলিকে এনক্রিপ্ট করতে এবং আক্রমণকারীর কাছে কীগুলি ফেরত দেওয়ার নির্দেশ দেয়।
স্টেরওয়েল বলেছেন যে এর গবেষকরা AES, RSA এবং XOR এনক্রিপশন স্কিমগুলির সংমিশ্রণ ব্যবহার করে মাউই এনক্রিপ্টিং ফাইলগুলি পর্যবেক্ষণ করেছেন। প্রতিটি নির্বাচিত ফাইল প্রথমে একটি অনন্য 16-বাইট কী সহ AES ব্যবহার করে এনক্রিপ্ট করা হয়। Maui তারপর RSA এনক্রিপশনের সাথে প্রতিটি ফলস্বরূপ AES কী এনক্রিপ্ট করে এবং তারপর XOR-এর সাথে RSA পাবলিক কী এনক্রিপ্ট করে। RSA প্রাইভেট কী ম্যালওয়্যারের মধ্যেই এমবেড করা একটি পাবলিক কী ব্যবহার করে এনকোড করা হয়।
সিলাস কাটলার, স্টেয়ারওয়েলের প্রধান বিপরীত প্রকৌশলী, বলেছেন মাউয়ের ফাইল-এনক্রিপশন ওয়ার্কফ্লোটির নকশা অন্যান্য আধুনিক র্যানসমওয়্যার পরিবারের সাথে মোটামুটি সামঞ্জস্যপূর্ণ। কি সত্যিই ভিন্ন একটি মুক্তিপণ নোট অনুপস্থিতি.
"পুনরুদ্ধারের নির্দেশাবলী সহ একটি এমবেডেড মুক্তিপণ নোটের অভাব একটি মূল অনুপস্থিত বৈশিষ্ট্য যা এটিকে অন্যান্য র্যানসমওয়্যার পরিবার থেকে আলাদা করে," কাটলার বলেছেন। "র্যানসম নোটগুলি কিছু বৃহৎ র্যানসমওয়্যার গ্রুপের জন্য কলিং কার্ড হয়ে উঠেছে [এবং] কখনও কখনও তাদের নিজস্ব ব্র্যান্ডিং দ্বারা সংযোজিত হয়।" তিনি বলেছেন স্টেয়ারওয়েল এখনও তদন্ত করছে যে হুমকি অভিনেতা কীভাবে শিকারদের সাথে যোগাযোগ করছেন এবং ঠিক কী দাবি করা হচ্ছে।
নিরাপত্তা গবেষকরা বলছেন যে হুমকি অভিনেতা মাউয়ের সাথে ম্যানুয়াল রুটে যাওয়ার সিদ্ধান্ত নেওয়ার অনেক কারণ রয়েছে। টিম ম্যাকগাফিন, ল্যারেস কনসাল্টিংয়ের প্রতিপক্ষের প্রকৌশলের পরিচালক, বলেছেন যে স্বয়ংক্রিয়, সিস্টেমওয়াইড র্যানসমওয়্যারের তুলনায় ম্যানুয়ালি চালিত ম্যালওয়্যারের আধুনিক এন্ডপয়েন্ট সুরক্ষা সরঞ্জাম এবং ক্যানারি ফাইলগুলি এড়ানোর একটি ভাল সুযোগ রয়েছে।
"নির্দিষ্ট ফাইলগুলিকে টার্গেট করার মাধ্যমে, আক্রমণকারীরা 'স্প্রে-এন্ড-প্রে' র্যানসমওয়্যারের তুলনায় কোনটি সংবেদনশীল এবং কোনটি আরও বেশি কৌশলী ফ্যাশনে উত্তোলন করতে হবে তা বেছে নিতে পারে," ম্যাকগাফিন বলেছেন। "এই 100% র্যানসমওয়্যারের জন্য একটি স্টিলথ এবং অস্ত্রোপচারের পদ্ধতি প্রদান করে, ডিফেন্ডারদের স্বয়ংক্রিয় র্যানসমওয়্যার সম্পর্কে সতর্ক করা থেকে বাধা দেয় এবং এটি ব্যবহার করা আরও কঠিন করে তোলে সনাক্তকরণ বা প্রতিক্রিয়ার জন্য সময় বা আচরণ-ভিত্তিক পন্থা।"
একটি প্রযুক্তিগত দৃষ্টিকোণ থেকে, মাউই সনাক্তকরণ এড়াতে কোনো পরিশীলিত উপায় ব্যবহার করে না, কাটলার বলেছেন। এটি সনাক্তকরণের জন্য অতিরিক্ত সমস্যাযুক্ত হতে পারে তা হল এর নিম্ন প্রোফাইল।
"সাধারণ র্যানসমওয়্যার থিয়েট্রিক্সের অভাব - [যেমন] মুক্তিপণ নোট [এবং] ব্যবহারকারীর ব্যাকগ্রাউন্ড পরিবর্তন - এর ফলে ব্যবহারকারীরা অবিলম্বে সচেতন হতে পারে না যে তাদের ফাইলগুলি এনক্রিপ্ট করা হয়েছে," তিনি বলেছেন।
মাউই কি রেড হেরিং?
ভেক্ট্রার সিটিও অ্যারন টার্নার বলেছেন যে হুমকি অভিনেতার ম্যানুয়াল এবং নির্বাচনী পদ্ধতিতে মাউয়ের ব্যবহার একটি ইঙ্গিত হতে পারে যে প্রচারণার পিছনে কেবল আর্থিক লাভ ছাড়া অন্য উদ্দেশ্য রয়েছে। উত্তর কোরিয়া যদি সত্যিই এই আক্রমণগুলিকে পৃষ্ঠপোষকতা করে, তবে এটি অনুমেয় যে র্যানসমওয়্যার শুধুমাত্র একটি চিন্তাভাবনা এবং আসল উদ্দেশ্যগুলি অন্য কোথাও রয়েছে।
বিশেষত, এটি সম্ভবত বুদ্ধিবৃত্তিক সম্পত্তি চুরি বা শিল্প গুপ্তচরবৃত্তির সংমিশ্রণ এবং র্যানসমওয়্যারের সাথে আক্রমণের সুবিধাবাদী নগদীকরণের সাথে মিলিত।
"আমার মতে, অপারেটর-চালিত নির্বাচনী এনক্রিপশনের এই ব্যবহার সম্ভবত একটি সূচক যে মাউই প্রচারণা শুধুমাত্র একটি র্যানসমওয়্যার কার্যকলাপ নয়," টার্নার বলেছেন।
Maui-এর অপারেটররা অবশ্যই আইপি চুরি এবং অন্যান্য ক্রিয়াকলাপের জন্য র্যানসমওয়্যারকে কভার হিসাবে ব্যবহার করা প্রথম নয়। অন্য আক্রমণকারীর সবচেয়ে সাম্প্রতিক উদাহরণ হল চীন ভিত্তিক ব্রোঞ্জ স্টারলাইট, যা সিকিউরওয়ার্কসের মতে বলে মনে হচ্ছে কভার হিসাবে ransomware ব্যবহার করে ব্যাপক সরকার-স্পন্সরকৃত আইপি চুরি এবং সাইবার গুপ্তচরবৃত্তির জন্য।
গবেষকরা বলছেন যে নিজেদের রক্ষা করার জন্য, স্বাস্থ্যসেবা সংস্থাগুলির একটি শক্ত ব্যাকআপ কৌশল বিনিয়োগ করা উচিত। সেফব্রীচের সিআইএসও আভিশাই আভিভির মতে, ব্যাকআপগুলি কার্যকর কিনা তা নিশ্চিত করার জন্য কৌশলটিতে অবশ্যই ঘন ঘন, কমপক্ষে মাসিক, পুনরুদ্ধার পরীক্ষা অন্তর্ভুক্ত করতে হবে
"স্বাস্থ্যসেবা সংস্থাগুলিকে তাদের নেটওয়ার্কগুলিকে ভাগ করতে এবং র্যানসমওয়্যারের পার্শ্বীয় বিস্তার রোধ করার জন্য পরিবেশগুলিকে বিচ্ছিন্ন করার জন্য সমস্ত সতর্কতা অবলম্বন করা উচিত," আভিভি একটি ইমেলে নোট করেছে। "এই মৌলিক সাইবার-স্বাস্থ্যবিধি পদক্ষেপগুলি একটি র্যানসমওয়্যার আক্রমণের জন্য প্রস্তুত সংস্থাগুলির জন্য [মুক্তিপণের জন্য বিটকয়েন মজুদ করার চেয়ে] অনেক ভাল পথ। আমরা এখনও দেখি সংস্থাগুলি উল্লেখিত মৌলিক পদক্ষেপ নিতে ব্যর্থ হয়েছে। … দুর্ভাগ্যবশত, এর অর্থ হল যখন (যদি না) র্যানসমওয়্যার তাদের নিরাপত্তা নিয়ন্ত্রণের বাইরে চলে যায়, তখন তাদের সঠিক ব্যাকআপ থাকবে না এবং ক্ষতিকারক সফ্টওয়্যারটি প্রতিষ্ঠানের নেটওয়ার্কগুলির মাধ্যমে পার্শ্ববর্তীভাবে ছড়িয়ে পড়তে সক্ষম হবে৷
সিঁড়িওয়েল YARA নিয়ম এবং সরঞ্জামগুলিও প্রকাশ করেছে যা অন্যরা মাউই র্যানসমওয়্যারের সনাক্তকরণ বিকাশ করতে ব্যবহার করতে পারে।
