ক্যাকটাস র্যানসমওয়্যার
সাইবারসিকিউরিটি গবেষকরা ক্লাউড অ্যানালিটিক্স এবং ব্যবসায়িক বুদ্ধিমত্তা প্ল্যাটফর্ম Qlik Sense-এর মধ্যে নতুন প্রকাশিত নিরাপত্তা দুর্বলতাকে পুঁজি করে একটি CACTUS Ransomware প্রচারণার বিষয়ে সতর্ক করছেন। এই প্রচারাভিযানটি একটি উল্লেখযোগ্য উন্নয়নের প্রতিনিধিত্ব করে কারণ এটি প্রথম নথিভুক্ত কেসকে নির্দেশ করে যেখানে ক্যাকটাস র্যানসমওয়্যার ব্যবহার করে ক্ষতিকারক অভিনেতারা লক্ষ্যযুক্ত পরিবেশে প্রাথমিক অ্যাক্সেস পাওয়ার জন্য তাদের প্রাথমিক পদ্ধতি হিসাবে Qlik সেন্সের দুর্বলতাগুলিকে লিভারেজ করেছে। এটি অননুমোদিত অ্যাক্সেস এবং সম্ভাব্য ডেটা আপসের জন্য জনপ্রিয় সফ্টওয়্যার প্ল্যাটফর্মের দুর্বলতাগুলিকে কাজে লাগানোর জন্য হুমকি অভিনেতাদের দ্বারা নিযুক্ত বিকশিত কৌশলগুলিকে আন্ডারস্কোর করে।
ক্যাকটাস র্যানসমওয়্যারটি বেশ কয়েকটি সফ্টওয়্যার দুর্বলতার মাধ্যমে বিতরণ করা হয়
সাইবারসিকিউরিটি বিশ্লেষকরা একাধিক আক্রমণ চিহ্নিত করেছেন যা বেশ কয়েক মাস ধরে তিনটি প্রকাশ করা দুর্বলতাকে কাজে লাগাতে দেখা যাচ্ছে:
- CVE-2023-41265 (CVSS স্কোর: 9.9) - এই দুর্বলতার সাথে HTTP অনুরোধ টানেলিং জড়িত, একটি দূরবর্তী আক্রমণকারীকে তাদের সুবিধাগুলি উন্নত করতে এবং রিপোজিটরি অ্যাপ্লিকেশন হোস্টিং ব্যাকএন্ড সার্ভার দ্বারা কার্যকর করা অনুরোধগুলি প্রেরণ করতে সক্ষম করে৷
- CVE-2023-41266 (CVSS স্কোর: 6.5) - একটি পাথ ট্রাভার্সাল দুর্বলতা যা একটি অননুমোদিত, দূরবর্তী আক্রমণকারীকে HTTP অনুরোধগুলি অননুমোদিত শেষ পয়েন্টে প্রেরণ করতে দেয়৷
- CVE-2023-48365 (CVSS স্কোর: 9.9) - HTTP শিরোনামগুলির অনুপযুক্ত বৈধতার ফলে একটি অননুমোদিত, দূরবর্তী কোড কার্যকর করার দুর্বলতা, একটি দূরবর্তী আক্রমণকারীকে HTTP অনুরোধগুলি টানেলিং করার মাধ্যমে তাদের সুবিধাগুলিকে উন্নত করার অনুমতি দেয়৷
এটা মনে রাখা গুরুত্বপূর্ণ যে CVE-2023-48365 হল CVE-2023-41265-এর জন্য একটি অসম্পূর্ণ প্যাচের পরিণতি। CVE-2023-41266 সহ উভয় দুর্বলতা, 2023 সালের অগাস্টের শেষের দিকে প্রকাশ করা হয়েছিল এবং CVE-2023-48365-এর জন্য একটি ফিক্স 20 সেপ্টেম্বর, 2023-এ কার্যকর করা হয়েছিল।
পর্যবেক্ষণ করা CACTUS Ransomware আক্রমণগুলিতে, চিহ্নিত দুর্বলতাগুলিকে কাজে লাগানো হয়, যার ফলে Qlik Sense Scheduler পরিষেবার অপব্যবহার হয়৷ এটি আক্রমণকারীদের অধ্যবসায় প্রতিষ্ঠা এবং রিমোট কন্ট্রোল সেট আপ করার লক্ষ্যে অতিরিক্ত সরঞ্জাম ডাউনলোড করার জন্য ডিজাইন করা প্রক্রিয়াগুলি তৈরি করতে সক্ষম করে।
এই আক্রমণগুলির সাথে জড়িত অতিরিক্ত সরঞ্জামগুলির মধ্যে রয়েছে ManageEngine ইউনিফাইড এন্ডপয়েন্ট ম্যানেজমেন্ট অ্যান্ড সিকিউরিটি (UEMS), AnyDesk এবং Plink। উল্লেখযোগ্যভাবে, হুমকি অভিনেতাদের সোফস সফ্টওয়্যার আনইনস্টল করা, প্রশাসকের অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করা এবং Plink এর মাধ্যমে একটি RDP টানেল তৈরি করা লক্ষ্য করা গেছে। আক্রমণের চেইনের ফলে শেষ পর্যন্ত ক্যাকটাস র্যানসমওয়্যার মোতায়েন করা হয়, আক্রমণকারীরা ডেটা অপসারণের জন্য ক্লোনও ব্যবহার করে। এই ব্যাপক আক্রমণ কৌশলটি ক্যাকটাস র্যানসমওয়্যার প্রচারণার পরিশীলিত এবং বহু-পর্যায়ের প্রকৃতিকে আন্ডারস্কোর করে।
Ransomware হুমকি অভিনেতা তাদের কৌশল বিকশিত হয়
ক্যাকটাস র্যানসমওয়্যারের আবির্ভাব র্যানসমওয়্যারের হুমকির ল্যান্ডস্কেপের ক্রমবর্ধমান পরিশীলিততাকে প্রতিফলিত করে। প্রাথমিক অ্যাক্সেস ব্রোকার এবং বটনেট মালিকদের নেটওয়ার্কের মাধ্যমে বৃহৎ আকারের আক্রমণকে সমর্থন করার জন্য ভূগর্ভস্থ অর্থনীতি বিকশিত হয়েছে। এই সংস্থাগুলি একাধিক অনুমোদিত অভিনেতার কাছে ভিকটিম সিস্টেমে অ্যাক্সেস পুনঃবিক্রয় করে, র্যানসমওয়্যার হুমকির সম্প্রসারণে অবদান রাখে।
র্যানসমওয়্যার মোকাবিলায় সরকার কর্তৃক বিশ্বব্যাপী প্রচেষ্টা থাকা সত্ত্বেও, র্যানসমওয়্যার-এ-সার্ভিস (RaaS) ব্যবসায়িক মডেলটি লক্ষ্যবস্তু থেকে অর্থ উত্তোলনের জন্য একটি স্থিতিস্থাপক এবং লাভজনক পদ্ধতি হিসাবে রয়ে গেছে। এই মডেলের দীর্ঘায়ু এবং লাভজনকতা বজায় থাকে, হুমকি অভিনেতাদের তাদের অবৈধ কার্যকলাপগুলিকে মানিয়ে নিতে এবং চালিয়ে যেতে দেয়।
একটি উল্লেখযোগ্য র্যানসমওয়্যার গ্রুপ, ব্ল্যাক বাস্তা , 2022 সালের এপ্রিলে দৃশ্যে প্রবেশ করেছিল এবং 90 টিরও বেশি ভিকটিমদের কাছ থেকে বিটকয়েন মুক্তিপণ প্রদানের মাধ্যমে $107 মিলিয়নের বেশি অবৈধ মুনাফা সংগ্রহ করেছে বলে অনুমান করা হয়। সাম্প্রতিক যৌথ গবেষণায় প্রকাশিত হয়েছে যে এই তহবিলের একটি উল্লেখযোগ্য অংশ গ্যারান্টেক্সের মাধ্যমে পাচার করা হয়েছিল, হাইড্রা ডার্ক নেট মার্কেটপ্লেসের সাথে লেনদেন সহজ করার জন্য এপ্রিল 2022 সালে মার্কিন সরকার কর্তৃক অনুমোদিত একটি রাশিয়ান ক্রিপ্টোকারেন্সি এক্সচেঞ্জ।
তদ্ব্যতীত, বিশ্লেষণটি ব্ল্যাক বাস্তা এবং অধুনা-লুপ্ত রাশিয়ান সাইবার ক্রাইম গ্রুপ কন্টির মধ্যে সংযোগ উন্মোচন করেছে, যেটি ব্ল্যাক বাস্তার উত্থানের সাথে সাথে কাজ বন্ধ করে দিয়েছিল। উপরন্তু, র্যানসমওয়্যার স্থাপনে ব্যবহৃত একটি টুল, QakBot- এর সাথে সম্পর্ক চিহ্নিত করা হয়েছে। অ্যাসোসিয়েশনগুলির এই জটিল ওয়েব আধুনিক র্যানসমওয়্যার অপারেশনগুলির জটিল এবং আন্তঃসংযুক্ত প্রকৃতিকে আন্ডারস্কোর করে।
