সম্প্রতি যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশন (এফবিআই), সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং অস্ট্রেলিয়ান সাইবার সিকিউরিটি সেন্টার (এসিএসসি) যৌথভাবে বিয়ানলিয়ান র ্যানসমওয়্যার ও চাঁদাবাজ গ্রুপের হুমকির বিষয়ে বিস্তারিত জানিয়েছে। ২০২২ সালের জুন থেকে সাইবার ক্রিমিনাল গ্রুপটি সক্রিয় থাকায়, দেখা যাচ্ছে যে র্যানসমওয়্যার প্রদানের জন্য ভিকটিম ফাইলগুলির আরও প্রচলিত এনক্রিপশন এখন ব্ল্যাকমেইল এবং চাঁদাবাজির উদ্দেশ্যে আপোস করা ডেটা এক্সফিল্টেশনে স্থানান্তরিত হয়েছে।
সাধারণত বৈধ রিমোট ডেস্কটপ প্রোটোকল (আরডিপি) শংসাপত্রের মাধ্যমে অ্যাক্সেস অর্জন করে, বিয়ানলিয়ানের র্যানসমওয়্যার প্রচারাভিযানটি শিক্ষা, স্বাস্থ্যসেবা, সমালোচনামূলক অবকাঠামো, ব্যাংকিং, আর্থিক পরিষেবা এবং বীমা, মিডিয়া এবং বিনোদন, উত্পাদন এবং অন্যান্য উল্লম্ব জুড়ে সুপরিচিত সংস্থাগুলিকে লক্ষ্য করেছে।
অ্যাডভাইজরি অনুসারে, "বিয়ানলিয়ান গ্রুপ মুক্তিপণ প্রদানের জন্য ভুক্তভোগীকে চাপ দেওয়ার জন্য অতিরিক্ত কৌশলে জড়িত; উদাহরণস্বরূপ, ক্ষতিগ্রস্থ নেটওয়ার্কে প্রিন্টারগুলিতে মুক্তিপণের নোটটি মুদ্রণ করা। ভুক্তভোগী কোম্পানির কর্মীরাও বিয়ানলিয়ান গ্রুপের সঙ্গে যুক্ত ব্যক্তিদের কাছ থেকে হুমকি টেলিফোন কল পাওয়ার কথা জানিয়েছেন।
চিত্র 1. বিয়ানলিয়ান নমুনা মুক্তিপণ নোট
সংশ্লিষ্ট গোয়েন্দা সংস্থাগুলির দেওয়া অনেক সতর্কতা এবং সুপারিশের মধ্যে, পরামর্শটি সংস্থাগুলির গুরুত্বের রূপরেখা দেয় "... আরডিপি এবং অন্যান্য দূরবর্তী ডেস্কটপ পরিষেবাদির ব্যবহার কঠোরভাবে সীমাবদ্ধ করা ..." আক্রমণের পৃষ্ঠতল হ্রাস করা এবং অননুমোদিত পার্শ্বীয় আন্দোলনের সুযোগ অস্বীকার করা। এটি বিশেষভাবে গুরুত্বপূর্ণ কারণ বিয়ানলিয়ান গ্রুপ, অন্যান্য র্যানসমওয়্যার গ্রুপগুলির বিপরীতে, প্রাথমিকভাবে আরও গোঁড়া কৌশল, কৌশল এবং পদ্ধতি (টিটিপি) এর পরিবর্তে দূরবর্তী অ্যাক্সেস সরঞ্জামগুলির প্রযুক্তিগত শোষণের উপর নির্ভর করে যা সম্পূর্ণরূপে অযাচিত ফিশিং ইমেলগুলির উপর নির্ভরশীল।
ডেটা এক্সফিলট্রেশনের উপর আরও দৃঢ় ফোকাস সহ, বিয়ানলিয়ানের র্যানসমওয়্যার স্ট্রেনের এই সর্বশেষ পুনরাবৃত্তিটি "ফাইল ট্রান্সফার প্রোটোকল এবং আরক্লোন ব্যবহার করে, ডেটা এক্সফিল্ট করার জন্য ক্লাউড স্টোরেজে ফাইলগুলি সিঙ্ক করতে ব্যবহৃত একটি সরঞ্জাম। এফবিআই পর্যবেক্ষণ করেছে যে বিয়ানলিয়ান গ্রুপের অভিনেতারা জেনেরিক এবং সাধারণত চেক না করা ফোল্ডারে আরক্লোন এবং অন্যান্য ফাইলগুলি ইনস্টল করে ... এসিএসসি পর্যবেক্ষণ করেছে যে বিয়ানলিয়ান গ্রুপের অভিনেতারা ক্ষতিগ্রস্থদের ডেটা এক্সফিল্ট করতে মেগা ফাইল-শেয়ারিং পরিষেবা ব্যবহার করে।
কেন এই ঘটনাগুলো ঘটছে?
আজ, র ্যানসমওয়্যারকে তার নিজস্ব হুমকি ভেক্টর হিসাবে ঠিক "উপন্যাস" হিসাবে বিবেচনা করা হবে না। যেখানে তথ্য আছে, সেখানে হুমকিদাতাদের জন্য এই সংবেদনশীল তথ্যকে জিম্মি করে রাখার এবং এর মুক্তির জন্য অর্থ দাবি করার একটি সুযোগ রয়েছে। এই ধারণাটি ম্যালওয়্যার সংক্রমণের প্রথম দিনগুলিতে ফিরে আসে, যখন "এইডস ভাইরাস" স্ট্রেনটি র্যানসমওয়্যারের প্রথম উদাহরণগুলির মধ্যে একটি হিসাবে দৃশ্যে এসেছিল।
চাঁদাবাজি এবং তথ্য চুরি পদ্ধতির জনপ্রিয়তা র ্যানসমওয়্যার গ্রুপগুলির মধ্যে ক্রমবর্ধমান অব্যাহত রয়েছে, কারণ ক্ষতিগ্রস্থ সংস্থাগুলি ঐতিহ্যবাহী র্যানসমওয়্যার প্রদানের দাবিতে কঠোর অবস্থান নিচ্ছে। এই সংশোধিত "মোডাস অপারেন্ডি" দিয়ে, হুমকি অভিনেতারা তাদের প্রাথমিক অ্যাক্সেস অর্জন করে, শিকারের নেটওয়ার্কগুলিতে পার্শ্বীয়ভাবে চলে যায়, পরবর্তী বহিষ্কারের জন্য সংবেদনশীল / মূল্যবান ডেটা সন্ধান করে, তাদের র্যানসমওয়্যার পেলোডগুলি মোতায়েন করে এবং শেষ পর্যন্ত তাদের দাবি জারি করে। সেদিক থেকে ভুক্তভোগী প্রতিষ্ঠান যদি প্রাথমিক মুক্তিপণ দাবি পরিশোধ না করে, তাহলে হুমকিদাতারা অনলাইনে চুরি করা তথ্য ফাঁস করার হুমকি দেবে।
দুর্ভাগ্যক্রমে, এই নতুন এবং উন্নত ডাবল চাঁদাবাজি মডেলটি সাইবার অপরাধীদের এবং তাদের হুমকি প্রচারাভিযানের মধ্যে শক্তিশালী আকর্ষণ অর্জন করছে, যেখানে তারা প্রভাবিত সিস্টেমগুলি ডিক্রিপ্ট করার জন্য এবং ভুক্তভোগীর চুরি হওয়া ডেটা ফাঁস না করার জন্য পৃথক অর্থ প্রদানের দাবি করে।
কি করা যায়?
ন্যূনতম হিসাবে, ভিত্তিগত সুরক্ষা নির্দেশিকা এবং মাল্টিফ্যাক্টর প্রমাণীকরণ সক্ষম করা উচিত এবং যেখানেই সম্ভব ব্যবহার করা উচিত। এটি বিশেষভাবে পূর্বোক্ত পরামর্শে "ফিশিং-প্রতিরোধী মাল্টিফ্যাক্টর প্রমাণীকরণ" হিসাবে বলা হয়। একজন ভুক্তভোগীর অবকাঠামোতে বৃহত্তর অ্যাক্সেসের সুবিধার্থে কীভাবে স্ট্যাটিক, বৈধ শংসাপত্রগুলি প্রাপ্ত এবং শোষণ করা হচ্ছে তার আরেকটি উদাহরণ হিসাবে বিয়ানলিয়ান কাজ করে।
র ্যানসমওয়্যার, নামটি থেকে বোঝা যায়, প্রাথমিকভাবে মুক্তিপণের জন্য কোনও ক্ষতিগ্রস্থ সংস্থার ডেটা জিম্মি রাখার দিকে মনোনিবেশ করে (এটি অনুমান করার জন্য কোনও পয়েন্ট নেই)। কিভাবে? ঐতিহ্যগতভাবে, এটি কোনও শিকারের ফাইলগুলি এনক্রিপ্ট করে করা হয়। যদি আপনার সংস্থার ফাইলগুলি হুমকি গ্রুপের এনক্রিপশন অ্যালগরিদম ব্যবহার করে জিম্মি করা হয়, তবে অ্যাভাস্টের দলটি ক্ষতিগ্রস্থদের বিনামূল্যে তাদের এনক্রিপ্ট করা ডেটা পুনরুদ্ধার করতে এবং আক্রমণকারীদের মুক্তিপণ প্রদান এড়াতে সহায়তা করার জন্য একটি বিয়ানলিয়ান-নির্দিষ্ট ডিক্রিপশন সরঞ্জাম তৈরি করেছে।
অতিরিক্তভাবে, সংস্থাগুলিকে বিয়ানলিয়ান সংক্রমণ সনাক্তকরণ, প্রতিকার এবং প্রতিরোধের জন্য তাদের উপযুক্ত প্ল্যাটফর্মগুলিতে পরিচিত ইন্ডিকেটর অফ কম্প্রোমাইজ (আইওসি) ব্যবহার করার জন্য দৃঢ়ভাবে উত্সাহিত করা হয়।
সংশ্লিষ্ট গোয়েন্দা সংস্থাগুলি তাদের পরামর্শে যেমন উল্লেখ করেছে, আক্রমণের পৃষ্ঠতল হ্রাস বিবেচনা করা একটি গুরুত্বপূর্ণ ঝুঁকি প্রশমন কৌশল, বিশেষত যখন পার্শ্বীয় আন্দোলনগুলি এখানে আরেকটি সাধারণ টিটিপি বলে মনে হয়। আরডিপি এবং রিমোট ডেস্কটপ পরিষেবাগুলিকে কঠোরভাবে সীমাবদ্ধ করা ল্যাপসাস $ এবং শুক্রের মতো সাম্প্রতিক হুমকির জন্য দেওয়া একটি সাধারণ সুপারিশ এবং এটি এমন একটি যা বিয়ানলিয়ানের জন্য সমানভাবে গুরুত্ব সহকারে নেওয়া উচিত।
বোধগম্যভাবে, আজকের সংস্থাগুলি তাদের কর্মীদের বিতরণ সেটিংস জুড়ে কাজ করতে এবং সহযোগিতা করার অনুমতি দেওয়ার জন্য দূরবর্তী অ্যাক্সেস পরিষেবা এবং দক্ষতার উপর প্রচুর নির্ভর করে। এই কারণে, বিদ্যমান আরডিপি সরঞ্জামগুলির সাথে কেবল "দূর করা" দ্বারা ভারী হাতের পদ্ধতি গ্রহণ করা সম্ভব নাও হতে পারে। পরিবর্তে, সংস্থাগুলি যেখানেই সম্ভব দূরবর্তী ডেস্কটপ ব্যবহার এবং শোষণের সাথে সম্পর্কিত অন্তর্নিহিত ঝুঁকিগুলি হ্রাস করার উপায়গুলি খুঁজে বের করা উচিত।
একটি উদাহরণ হিসাবে, এর নীতিগুলির সাথে সারিবদ্ধ Zero Trust Network Access (জেডটিএনএ) আক্রমণ পৃষ্ঠ হ্রাসে ব্যাপকভাবে সহায়তা করতে পারে - যার অর্থ কোনও সংস্থানে অ্যাক্সেস ডিফল্টরূপে অস্বীকার করা হয়। প্রতিটি ব্যবহারকারী এবং ডিভাইস, অভ্যন্তরীণ বা দূরবর্তী যাই হোক না কেন, অনিরাপদ এবং ঝুঁকিপূর্ণ বলে মনে করা হয় এবং আরডিপি সংযোগ পরিষেবা সহ সংবেদনশীল ব্যক্তিগত সংস্থানগুলিতে অ্যাক্সেস দেওয়ার আগে তাদের পরিচয় এবং সুরক্ষা ভঙ্গি অবশ্যই যাচাই করা উচিত।
জেডটিএনএ সংস্থাগুলিকে সফ্টওয়্যার-সংজ্ঞায়িত পরিধি তৈরি করতে এবং কর্পোরেট নেটওয়ার্ককে একাধিক মাইক্রো-সেগমেন্টে বিভক্ত করতে দেয়। কেবলমাত্র নির্দিষ্ট অ্যাপ্লিকেশন এবং অভ্যন্তরীণ সংস্থানগুলিতে "ন্যূনতম বিশেষাধিকার" অ্যাক্সেসের অনুমতি দিয়ে - বৈধ লগইন কীগুলির সাথে কোনও ব্যবহারকারীর কাছে পুরো অন্তর্নিহিত নেটওয়ার্ক নয় - আক্রমণের পৃষ্ঠটি নাটকীয়ভাবে হ্রাস করা হয়, যার ফলে আপোসযুক্ত অ্যাকাউন্ট বা ডিভাইসগুলি থেকে হুমকির পার্শ্বীয় চলাচল রোধ করে।
তথ্যসূত্র: