EncryptRAT
আর্থিকভাবে অনুপ্রাণিত হুমকিদাতা প্রতিষ্ঠান এনক্রিপ্টহাব তথ্য চুরিকারী এবং র্যানসমওয়্যার মোতায়েনের জন্য সক্রিয়ভাবে উন্নত ফিশিং প্রচারণা পরিচালনা করছে। এছাড়াও, এই দলটি এনক্রিপ্টআরএটি নামে একটি নতুন হুমকিমূলক হাতিয়ার তৈরিতে কাজ করছে, যা সাইবার অপরাধের ক্ষেত্রে এর ক্রমাগত বিবর্তনের ইঙ্গিত দেয়।
সুচিপত্র
জনপ্রিয় অ্যাপ্লিকেশনগুলিকে লক্ষ্য করে তৈরি করা এবং PPI পরিষেবা ব্যবহার করা
এনক্রিপ্টহাবকে ভুক্তভোগীদের সিস্টেমে অনুপ্রবেশের জন্য বহুল ব্যবহৃত অ্যাপ্লিকেশনের ট্রোজানাইজড সংস্করণ বিতরণ করতে দেখা গেছে। গ্রুপটি তাদের ম্যালওয়্যার প্রচারণার নাগাল প্রসারিত করার জন্য ল্যাবইনস্টলসের মতো তৃতীয়-পক্ষের পে-পার-ইনস্টল (পিপিআই) পরিষেবাগুলিও ব্যবহার করে।
অপারেশনাল নিরাপত্তা ভুল এবং শোষণের ব্যবহার
সাইবার নিরাপত্তা গবেষকরা EncryptHub কে একটি হ্যাকিং গ্রুপ হিসেবে চিহ্নিত করেছেন যারা প্রায়শই অপারেশনাল নিরাপত্তা ত্রুটি করে। এই ভুলগুলি সত্ত্বেও, এই গ্রুপটি সফলভাবে তাদের আক্রমণের সাথে সুপরিচিত নিরাপত্তা দুর্বলতার সুবিধাগুলিকে একীভূত করে, যা তাদের একটি স্থায়ী হুমকিতে পরিণত করে।
উদীয়মান হুমকি: LARVA-208 এবং মাল্টি-চ্যানেল আক্রমণ
LARVA-208 নামে একটি সুইস সাইবারসিকিউরিটি ফার্ম দ্বারা ট্র্যাক করা, EncryptHub 2024 সালের জুন মাসে সক্রিয় হয়ে ওঠে বলে মনে করা হয়। এই গোষ্ঠীটি রিমোট মনিটরিং অ্যান্ড ম্যানেজমেন্ট (RMM) সফ্টওয়্যার ইনস্টল করার জন্য ভুক্তভোগীদের প্রতারণা করার জন্য SMS ফিশিং (স্মিশিং) এবং ভয়েস ফিশিং (ভিশিং) সহ বিভিন্ন আক্রমণ ভেক্টর ব্যবহার করে।
প্রধান র্যানসমওয়্যার গ্রুপগুলির সাথে সম্পৃক্ততা
এনক্রিপ্টহাবের র্যানসমহাব এবং ব্ল্যাকস্যুট র্যানসমওয়্যার গ্রুপের সাথে দৃঢ় সম্পর্ক রয়েছে। গত নয় মাসে, এটি উন্নত সামাজিক প্রকৌশল কৌশল ব্যবহার করে বিভিন্ন শিল্পে 618 টিরও বেশি উচ্চ-মূল্যের লক্ষ্যবস্তুতে আঘাত করেছে। একটি সাধারণ কৌশল হল ভিপিএন শংসাপত্র চুরি করার জন্য ডিজাইন করা ফিশিং ওয়েবসাইট, তারপরে আইটি সহায়তার ছদ্মবেশে কল করে ভুক্তভোগীদের তাদের বিবরণ প্রবেশ করতে প্ররোচিত করা। যেসব ক্ষেত্রে কল ব্যবহার করা হয় না, সেখানে ভুয়া মাইক্রোসফ্ট টিমস লিঙ্কগুলি টোপ হিসেবে কাজ করে।
বুলেটপ্রুফ হোস্টিং এবং ম্যালওয়্যার স্থাপনা
সনাক্তকরণ এড়াতে, EncryptHub Yalishand এর মতো বুলেটপ্রুফ হোস্টিং প্রোভাইডারগুলিতে ফিশিং সাইটগুলি হোস্ট করে। অ্যাক্সেস পাওয়ার পরে, আক্রমণকারী Fickle , StealC এবং Rhadamanthys এর মতো স্টিলার ম্যালওয়্যার ইনস্টল করার জন্য PowerShell স্ক্রিপ্টগুলি কার্যকর করে। বেশিরভাগ ক্ষেত্রে, চূড়ান্ত উদ্দেশ্য হল র্যানসমওয়্যার স্থাপন করা এবং মুক্তিপণ আদায় করা।
মূল প্রবেশপথ হিসেবে ট্রোজানাইজড অ্যাপ্লিকেশন
আরেকটি সাধারণভাবে ব্যবহৃত পদ্ধতি হল ম্যালওয়্যারকে বৈধ সফ্টওয়্যার হিসেবে ছদ্মবেশ ধারণ করা। EncryptHub QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 এবং Palo Alto Global Protect এর মতো অ্যাপ্লিকেশনগুলির নকল সংস্করণ বিতরণ করে আসছে। একবার ইনস্টল হয়ে গেলে, এই নকল অ্যাপ্লিকেশনগুলি একটি বহু-পর্যায়ের প্রক্রিয়া শুরু করে, অবশেষে ব্রাউজার কুকিজ এবং অন্যান্য সংবেদনশীল ডেটা সংগ্রহ করার জন্য Kematian Stealer এর মতো অনিরাপদ পেলোড সরবরাহ করে।
ল্যাবইনস্টলস: ম্যালওয়্যার বিতরণে একটি গুরুত্বপূর্ণ উপাদান
কমপক্ষে ২ জানুয়ারী, ২০২৫ সাল থেকে, EncryptHub LabInstalls-এর উপর নির্ভর করে আসছে, একটি PPI পরিষেবা যা একটি ফি দিয়ে বাল্ক ম্যালওয়্যার ইনস্টলেশন অফার করে। দাম ১০০ লোডের জন্য ১০ ডলার থেকে শুরু করে ১০,০০০ লোডের জন্য ৪৫০ ডলার পর্যন্ত। EncryptHub একটি রাশিয়ান-ভাষী আন্ডারগ্রাউন্ড ফোরামে ইতিবাচক প্রতিক্রিয়া রেখে পরিষেবাটির ব্যবহার নিশ্চিত করেছে, এমনকি প্রমাণ হিসাবে একটি স্ক্রিনশটও শেয়ার করেছে। এর থেকে বোঝা যায় যে অভিনেতা তার কার্যক্রম আরও দক্ষতার সাথে স্কেল করার জন্য বিতরণকে আউটসোর্স করছে।
এনক্রিপ্টআরএটি: সাইবার অপরাধের পরবর্তী বিবর্তন
EncryptHub সক্রিয়ভাবে EncryptRAT তৈরি করছে, একটি কমান্ড-এন্ড-কন্ট্রোল (C2) প্যানেল যা সংক্রামিত সিস্টেম পরিচালনা, দূরবর্তী কমান্ড কার্যকর করা এবং চুরি হওয়া ডেটা অ্যাক্সেস করার জন্য ডিজাইন করা হয়েছে। কিছু প্রমাণ থেকে জানা যায় যে গ্রুপটি এই টুলটিকে বাণিজ্যিকীকরণের পরিকল্পনা করছে, যা ব্যবসা এবং ব্যক্তি উভয়ের জন্যই হুমকির কারণ হতে পারে।
সতর্কতা এবং সক্রিয় প্রতিরক্ষার প্রয়োজনীয়তা
এনক্রিপ্টহাবের ক্রমাগত অভিযোজন এবং বিবর্তন সংস্থাগুলির বহু-স্তরীয় সুরক্ষা কৌশল গ্রহণের জরুরি প্রয়োজনীয়তা তুলে ধরে। এই ক্রমবর্ধমান সাইবার হুমকির ঝুঁকি হ্রাস করার জন্য অবিরাম পর্যবেক্ষণ, সক্রিয় প্রতিরক্ষা ব্যবস্থা এবং ব্যবহারকারী সচেতনতা প্রশিক্ষণ অপরিহার্য।
