Ransomware বিকশিত - নতুন গোলকধাঁধা আক্রমণ বিদ্যমান Ransomware মডেলের ডেটা প্রকাশের হুমকি যোগ করে

প্লেটো দ্বারা প্রকাশিত

অনুসরণকারী: 0

পড়ার সময়: 6 মিনিটগোলকধাঁধা নির্মাতারা মুক্তিপণ প্রদান না করা হলে ক্ষতিগ্রস্থদের গোপনীয় তথ্য প্রকাশ করার হুমকি দেয়। কমোডো সাইবার সিকিউরিটি দল সর্বশেষ আক্রমণে ইকুয়েশন গ্রুপ মিউটেক্সও খুঁজে পেয়েছে।

2020 সালের গোড়ার দিকে Ransomware একটি ভয়ঙ্কর নতুন মোড় নিয়েছিল, একটি সহজবোধ্য এনক্রিপ্ট-পরে-অপরাধী মডেল থেকে একটি কোম্পানির ডেটা, গোপনীয়তা এবং খ্যাতির উপর সম্পূর্ণরূপে আক্রমণে পরিণত হয়েছে। 'ট্র্যাডিশনাল' র‍্যানসমওয়্যার আক্রমণটি একটি বহুল আলোচিত মডেল যা এই ব্লগে এবং অন্যান্য প্রকাশনা দ্বারা ব্যাপকভাবে কভার করা হয়েছে। সংক্ষেপে, একটি টার্গেট সিস্টেমের সমস্ত ফাইল একটি শক্তিশালী এনক্রিপশন অ্যালগরিদম দিয়ে লক করা থাকে এবং ব্যবহারকারীকে অবশ্যই আক্রমণকারীকে তাদের আনলক করার জন্য একটি মুক্তিপণ ফি দিতে হবে। না সুরক্ষা সফ্টওয়্যার অথবা কম্পিউটার বিশেষজ্ঞ সেই ফাইলগুলিকে ডিক্রিপ্ট করতে পারেন, এটি একটি কোম্পানির মুখোমুখি হতে পারে এমন সবচেয়ে বিপজ্জনক আক্রমণগুলির একটি করে তোলে৷ ransomware ব্যবসাগুলিকে পঙ্গু করে দেয় যাদের প্রতিদিনের কাজের জন্য তাদের ফাইলের প্রয়োজন হয় এবং তাদের একটি কোণে নিয়ে যায় যেখানে তাদের ফি দিতে হবে বা তাদের ডেটা অ্যাক্সেস ছাড়াই সংগ্রাম করার চেষ্টা করতে হবে।

ঠিক আছে, এটি অদ্ভুত বলে মনে হতে পারে, আমরা একদিন নস্টালজিয়ার অনুভূতি নিয়ে 'পুরানো র্যানসমওয়্যার'-এর দিকে ফিরে তাকাতে পারি এবং সেই সহজ সময়ের জন্য আকাঙ্ক্ষা করতে পারি। মনে হচ্ছে প্রথাগত আক্রমণটি ছিল অপরাধী ভ্রাতৃত্বের প্রথম পদক্ষেপ যা এনক্রিপশন মডেলের সাহায্যে তার পা খুঁজে বের করে, এটিকে একটি বিল্ডিং ব্লক হিসাবে ব্যবহার করে যেখান থেকে তারা আরও কার্যকর আক্রমণ তৈরি করতে পারে। কেন খুঁজে বের করতে পড়ুন.

একটি র‍্যানসমওয়্যার আক্রমণের পর, কিছু কোম্পানি তাদের ডেটা পুনরুদ্ধার করার জন্য ফি প্রদান করেছিল, কিন্তু অন্যরা আক্রমণটি প্রকাশ না করার বা মুক্তিপণ পরিশোধ করার সিদ্ধান্ত নেয়নি। তারা পরিবর্তে ব্যাকআপ বা অন্য উপায়ে তাদের ডেটা পুনর্নির্মাণ করে এবং ধীরে ধীরে নিজেদেরকে ট্র্যাকে ফিরিয়ে আনে। এটা স্পষ্টভাবে Maze এর ডেভেলপারদের বিরক্ত করেছে যে কিছু ভুক্তভোগী কেবল তাদের সমস্ত কঠোর পরিশ্রমকে উপেক্ষা করছে, তাই তারা তাদের জন্য পে-আপের জন্য একটি বৃহত্তর প্রণোদনা তৈরি করার সিদ্ধান্ত নিয়েছে। এই প্রণোদনা কোম্পানির ফাইল অপসারণ এবং ফি প্রদান না করলে জনসাধারণের কাছে তাদের ছেড়ে দেওয়ার হুমকি দেওয়ার আকারে এসেছিল। গোলকধাঁধা নির্মাতারা এমনকি এমন একটি 'শ্যামিং' ওয়েবসাইট তৈরি করতে গিয়েছিলেন যা এমন সংস্থাগুলিকে তালিকাভুক্ত করে যারা তাদের র্যানসমওয়্যারের শিকার হয়েছে কিন্তু এখনও মুক্তিপণ পরিশোধ করেনি।

এটি শিকারের জন্য একটি বিশেষভাবে দুষ্ট দ্বিগুণ বা এমনকি ট্রিপল-হ্যামি উপস্থাপন করে। শুধুমাত্র তাদের ফাইলগুলিই অ্যাক্সেসযোগ্য নয়, হাসপাতাল এবং আর্থিক প্রতিষ্ঠানের মতো সংস্থাগুলির জন্য একটি সম্ভাব্য পঙ্গুত্বপূর্ণ আঘাত, কিন্তু এখন তারা তাদের ডেটা জনসাধারণের কাছে প্রকাশ করার বা তাদের প্রতিযোগীদের একজনের কাছে বিক্রি হওয়ার ঝুঁকি রয়েছে৷ অবশ্যই, গ্রাহক-গোপনীয়তা আইন দ্বারা আবদ্ধ কোম্পানিগুলির জন্য এটি আরও বড় মাথাব্যথা। লঙ্ঘন সর্বজনীন হয়ে গেলে সুনামের ক্ষতি এবং স্টক-মার্কেট মূল্যায়নের সম্ভাব্য আঘাতও রয়েছে। তৃতীয়ত, যদি তারা প্রথমে আক্রমণটিকে আড়াল করার চেষ্টা করে থাকে, তবে তারা এমন প্রবিধানের মুখোমুখি হতে হবে যার জন্য কোম্পানিগুলিকে এই প্রকৃতির কোনো লঙ্ঘন প্রকাশ করতে হবে।

এটি একটি সুন্দর ছবি না? প্রকৃতপক্ষে, এফবিআই ম্যাজকে এমন একটি গুরুতর হুমকি হিসাবে দেখেছিল যে তারা এটি সম্পর্কে ব্যবসায়িকদের একটি সতর্কতা জারি করেছিল। থেকে সাহায্য নিয়ে কমোডো সাইবার নিরাপত্তা টিম, এই ব্লগটি নতুন Maze ransomware এর কাজগুলিকে ঘনিষ্ঠভাবে দেখেছে৷ নোটের একটি আইটেম অফ-দ্য-টপ হল কোডে 'prkMtx' mutex অবজেক্টের উপস্থিতি। এই বস্তুটি সমীকরণ গ্রুপের শোষণ গ্রন্থাগার, 'gPrivLibh' দ্বারা ব্যবহৃত হয়। আপনারা যারা হুমকি বিশ্লেষণের বিশেষ জগতের বাইরে থাকেন তাদের জন্য, সমীকরণ গ্রুপ হল একটি উন্নয়ন দল যা Stuxnet এবং Flame আক্রমণের সাথে ঘনিষ্ঠভাবে যুক্ত। অনেক বিশেষজ্ঞ বিশ্বাস করেন যে এই গোষ্ঠীটির NSA-এর সাথে সম্পর্ক রয়েছে। ম্যাজ ডেভেলপাররা স্পষ্টতই মিউটেক্সকে কো-অপ্ট করেছে এবং এটিকে তাদের র‍্যানসমওয়্যারে ব্যবহার করার জন্য রেখেছিল, এটি ব্যাখ্যা করে যে 'ম্যালওয়্যার হল ম্যালওয়্যার', মূল লেখকদের বিষয়গত 'ভাল' উদ্দেশ্য যাই হোক না কেন।

Maze ransomware কি?

Maze ransomware, পূর্বে ChaCha নামে পরিচিত, ম্যালস্প্যাম ইমেলগুলির মাধ্যমে বিতরণ করা হয় যাতে ম্যালওয়্যারটি সংযুক্তি হিসাবে থাকে, স্প্লিভো এবং ফলআউটের মতো শোষণ কিটগুলির মাধ্যমে এবং দুর্বল পাসওয়ার্ড রয়েছে এমন RDP সংযোগগুলি ক্র্যাক করে। এর পেলোড হল RSA-2048 এনক্রিপশন এবং chacha20 স্ট্রীম সাইফারের সাহায্যে শিকারের ড্রাইভে সমস্ত ডেটা এনক্রিপ্ট করা, তারপর ডেটা ডিক্রিপ্ট করার জন্য একটি মুক্তিপণ ফি দাবি করা। নীচের চিত্রটি বিভিন্ন এক্সটেনশনগুলি দেখায় যা এনক্রিপ্ট করা ফাইলগুলিতে মেজ যুক্ত করে:

ম্যালওয়্যারটি তারপর ব্যবহারকারীর ডেস্কটপে একটি মুক্তিপণ বার্তা রাখে। কমোডোর গবেষকরা রাশিয়া, পোল্যান্ড, তুরস্ক, নেদারল্যান্ডস এবং অস্ট্রিয়াতে শীর্ষ 5টি মেজ যোগাযোগ সার্ভার চিহ্নিত করেছেন:

একটি গোলকধাঁধা আক্রমণের অ্যানাটমি

Maze একটি অত্যন্ত পরিশীলিত পরিবার যার শক্তিশালী বহু-স্তরের ব্যতিক্রম এবং একটি অ্যান্টি-ডিবাগিং কৌশল রয়েছে যা গবেষণা দলগুলিকে র্যানসমওয়্যারের আসল সামগ্রী অ্যাক্সেস করতে বাধা দেয়। কমোডো থ্রেট রিসার্চ টিম আগে দেখা যায়নি এমন বিশদ খুঁজে বের করতে এই বাধাগুলি অতিক্রম করতে সক্ষম হয়েছে।

বিশ্লেষণের তিনটি অংশ রয়েছে:

ক) আইপি তালিকা, ওয়েব এক্সটেনশন এবং এনকোড করা ইউআরএল
খ) ফাইল এনক্রিপশন প্রক্রিয়া
গ) লক স্ক্রিন, ডিক্রিপশন নোট এবং ডিক্রিপশন লিঙ্ক

ক) আইপি তালিকা, ওয়েব এক্সটেনশন এবং এনকোড করা ইউআরএল

গোলকধাঁধা আইপি তালিকায় 14টি হার্ড-কোডেড আইপি ঠিকানা রয়েছে, যা সার্ভারের বিস্তৃত বিতরণ নির্দেশ করে। তালিকার ঠিকানাগুলি হল:

92.63.8.47
92.63.32.2
92.63.37.100
92.63.194.20
92.63.17.245
92.63.32.55
92.63.11.151
92.63.194.3
92.63.15.8
92.63.29.137
92.63.32.57
92.63.15.56
92.63.32.52
92.63.15.6

এছাড়াও 6টি হার্ড-কোডেড ওয়েব এক্সটেনশন রয়েছে - '.do', '.jsp', '.shtml', '.html', '.aspx' এবং '.php':

গোলকধাঁধা নিম্নলিখিত URL গঠনগুলি ব্যবহার করে ('পোস্ট/সম্পাদনা' এবং 'সিগিনিন/ট্রান্সফার'):

খ) Ransomware ফাইল এনক্রিপশন প্রক্রিয়া:

Maze শিকার মেশিনের সিস্টেম ড্রাইভে সমস্ত ফাইল/ফোল্ডারগুলির একটি তালিকা তৈরি করে এবং 'DECRYPT-FILES.html' নামক একটি ফাইলে তালিকাভুক্ত করে:

কমোডো দলটি তার এনক্রিপশন প্রক্রিয়ার মাধ্যমে একটি পরীক্ষা ফাইল চালানোর মাধ্যমে Maze এর এনক্রিপশনের জটিলতা পরীক্ষা করেছে। '~Test.txt' নামের ফাইলটিতে API কলগুলি CreateFileW, ReadFile, CreateFileMappingW এবং MapViewOfFile যুক্ত এনক্রিপশন হয়েছে:

নিম্নলিখিত স্ক্রিনশটটি এনক্রিপশনের আগে ফাইলের বিষয়বস্তু দেখায়:

পোস্ট-এনক্রিপশন সংস্করণ এবং এর হেক্স ডাম্প নীচে দেখানো হয়েছে:

গ) লক স্ক্রিন, ডিক্রিপশন নোট এবং ডিক্রিপশন লিঙ্ক

গোলকধাঁধা মুক্তিপণ নোট কেবল ব্যাখ্যা করে না কী ঘটেছে এবং কীভাবে অর্থ প্রদান করতে হবে, তবে শিকারের কাছে অর্থপ্রদানের পথটি 'বিক্রয়' করার জন্য অনেক সময় ব্যয় করে। হ্যাকাররা বুঝতে পেরেছে যে ভীতিকর মেসেজিং এবং হুমকিগুলি একটি দুর্বল গ্রাহক-রূপান্তর কৌশল, এবং 'বিক্রয়' বন্ধ করার জন্য আরও প্ররোচিত মেসেজিংয়ের দিকে চলে গেছে।

লক স্ক্রিন ব্যবহারকারীকে বলে যে তাদের ফাইলগুলি এনক্রিপ্ট করা হয়েছে এবং ব্যবহৃত অ্যালগরিদমগুলির শক্তিকে বোঝায়৷ পৃষ্ঠাটি এমনকি ব্যবহারকারীকে তাদের দাবিগুলি নিশ্চিত করার জন্য অ্যালগরিদমগুলি গবেষণা করতে উত্সাহিত করে৷ এটি সম্ভবত ফাইল পুনরুদ্ধার করার চেষ্টা করে সময় নষ্ট করা থেকে ব্যবহারকারীকে নিরুৎসাহিত করে অর্থপ্রদানকে ত্বরান্বিত করার জন্য। একটি dystopian বিক্রয় কৌশল হিসাবে, তারা শিকার তাদের ডিক্রিপ্টর কাজ প্রমাণ করার জন্য বিনামূল্যে 3 ফাইল ডিক্রিপ্ট করার অনুমতি দেয়. ডিক্রিপশন প্রক্রিয়া আসলে কাজ করে এমন দৃঢ় প্রমাণ থাকলে ব্যবহারকারীর অর্থ প্রদানের সম্ভাবনা বেশি থাকে:

সহগামী নোটটি পরিস্থিতির তীব্রতা পুনর্ব্যক্ত করে এবং কীভাবে অর্থপ্রদানের জন্য হ্যাকারদের সাথে যোগাযোগ করতে হয় সে সম্পর্কে বিস্তারিত নির্দেশাবলী রয়েছে। নোটটি পরিষ্কার এবং সুন্দরভাবে সাজানো, মূলধারার প্রায়শই জিজ্ঞাসিত প্রশ্ন পৃষ্ঠাগুলির শৈলী ধার করে যেমন শিরোনাম 'কী হয়েছে?' এবং 'কীভাবে আমি আমার ফাইলগুলি ফেরত পেতে পারি?':

নোটের ২য় বিকল্পটি ব্যবহারকারীকে তাদের তথ্যের ওয়েবসাইট https://mazedecrypt.top/2b1b010e7a5ebe3d এ যেতে উৎসাহিত করে। আবার, সাইটটি ব্যবহারকারীকে আশ্বস্ত করার জন্য প্রশান্তিদায়ক বার্তা সহ একটি চটকদার বিপণন অপারেশনের প্রমাণ দেয় যে অর্থপ্রদান সঠিক সিদ্ধান্ত। ভিকটিমদের 'গ্রাহক' হিসেবে উল্লেখ করে, এটি ব্যবহারকারীর ফাইল সংরক্ষণের মহৎ মিশনে নিবেদিত একটি স্বাধীন সমর্থন সাইট হতে পারে:

সাইটটি ব্যবহারকারীকে তাদের 'DECRYPT-FILES.txt' ফাইল আপলোড করতে বলে যাতে হ্যাকাররা শিকারকে সনাক্ত করতে পারে।
ডিক্রিপশনের জন্য কোনো চার্জ খোলাখুলিভাবে বলা হয় না, বরং ব্ল্যাকমেলের পর্যায় 2 ব্যবহারকারীকে koreadec@tutanota.com এবং yourealdecrypt@airmail.cc-এর সাথে যোগাযোগ করতে উৎসাহিত করে একটি মূল্য 'আলোচনা' করতে: