জেন্টলকিলার ম্যালওয়্যার ফ্রেমওয়ার্ক

জেন্টলমেন র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস (RaaS) অপারেশনটি সক্রিয়ভাবে এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (EDR) নিষ্ক্রিয়কারী টুলের একটি ব্যাপক সেট তৈরি ও রক্ষণাবেক্ষণ করছে, যা অ্যাফিলিয়েটরা র‍্যানসমওয়্যার এনক্রিপ্টর স্থাপন করার আগে নিরাপত্তা সুরক্ষা নিষ্ক্রিয় করতে ব্যবহার করতে পারে।

এই অস্ত্রাগারের কেন্দ্রে রয়েছে জেন্টলকিলার (GentleKiller) নামে পরিচিত একটি ফ্রেমওয়ার্ক, যা হেক্সকিলার (HexKiller), থ্রটলব্লাড (ThrottleBlood), এবং হ্যাভককিলার (HavocKiller)-সহ বেশ কিছু থার্ড-পার্টি ও ফাঁস হওয়া টুল দ্বারা সমর্থিত। এই ইউটিলিটিগুলো একটি সাধারণ প্রতিরক্ষা-এড়ানোর ফ্রেমওয়ার্কের মাধ্যমে একীভূত, যা নকল ভার্সনের তথ্য, কপি করা ডিজিটাল সার্টিফিকেট এবং ক্লোন করা অ্যাপ্লিকেশন আইকন ব্যবহার করে সেগুলোকে বৈধ নিরাপত্তা পণ্য হিসেবে ছদ্মবেশ ধারণ করায়।

নতুন প্রকাশিত দুর্বলতার দ্রুত অপব্যবহার

এই গোষ্ঠীর অন্যতম উল্লেখযোগ্য সক্ষমতা হলো ‘ব্রিং ইওর ওন ভালনারেবল ড্রাইভার’ (BYOVD) কৌশলের সাথে সম্পর্কিত নতুন প্রকাশিত প্রুফ-অফ-কনসেপ্ট (PoC) এক্সপ্লয়েটগুলোকে দ্রুত কার্যকর করার ক্ষমতা। অনেক ক্ষেত্রে, নতুন প্রকাশিত এক্সপ্লয়েটগুলো সর্বসাধারণের জন্য উপলব্ধ হওয়ার মাত্র কয়েক দিনের মধ্যেই গোষ্ঠীটির টুলকিটে অন্তর্ভুক্ত করা হয়।

এই সুবিন্যস্ত উন্নয়ন পদ্ধতিটি অ্যাফিলিয়েটদের অত্যন্ত কার্যকর টুল সরবরাহ করে এবং একই সাথে অপারেটরদের নিজেদের জন্য উন্নয়নের প্রয়োজনীয়তা হ্রাস করে। এই মডেলটি গ্রুপটিকে জনসমক্ষে প্রকাশের প্রায় সাথে সাথেই নতুন অপব্যবহৃত ড্রাইভারগুলোকে অন্তর্ভুক্ত করার মাধ্যমে তাদের অস্ত্রাগারকে ক্রমাগত সতেজ রাখতেও সক্ষম করে।

র‍্যানসমওয়্যার ইকোসিস্টেমে দ্রুত বৃদ্ধি

২০২৫ সালের মার্চ মাসে আত্মপ্রকাশের পর থেকে, ‘দ্য জেন্টলমেন’ দ্রুত বিশ্বব্যাপী সবচেয়ে সক্রিয় র‍্যানসমওয়্যার গ্রুপগুলোর মধ্যে একটি হয়ে উঠেছে। এই গোষ্ঠীটি ৫০৪ জন ভুক্তভোগীর দায় স্বীকার করেছে, যাদের অধিকাংশই দক্ষিণ-পূর্ব এশিয়া, দক্ষিণ আমেরিকা এবং পশ্চিম ইউরোপ জুড়ে অবস্থিত।

সাম্প্রতিক তদন্তে আলেকজান্ডার আন্দ্রেভিচ ইয়াপায়েভকে এই অপারেশনের নেতা হিসেবে শনাক্ত করা হয়েছে। ৩৬ বছর বয়সী এই রুশ নাগরিক অনলাইনে 'hastalamuerte' নামে পরিচিত। জানা গেছে, 'The Gentlemen' চালু করার আগে তিনি 'Qilin' সহ আরও বেশ কয়েকটি র‍্যানসমওয়্যার প্রোগ্রামের সহযোগী হিসেবে কাজ করতেন।

ছদ্মবেশ এবং বাইনারি সুরক্ষার মাধ্যমে উন্নত ইডিআর এড়ানো

‘দ্য জেন্টলমেন’ বর্তমানে সক্রিয় সবচেয়ে প্রযুক্তিগতভাবে দক্ষ RaaS অপারেশনগুলোর মধ্যে অন্যতম হিসেবে বিবেচিত হয়। এর ডেভেলপাররা কম্পাইল করা EDR কিলারগুলো যাতে শনাক্তকরণ এড়াতে পারে, তা নিশ্চিত করতে একাধিক কৌশল অবলম্বন করে। এর মধ্যে রয়েছে বাইনারি সুরক্ষা ব্যবস্থা এবং সুপরিচিত সাইবারসিকিউরিটি বিক্রেতাদের ফাইলের নামের সাথে সাদৃশ্যপূর্ণ ফাইলের নাম ব্যবহার করা। এই প্রতারণা জাল সংস্করণ তথ্য, ডিজিটাল স্বাক্ষর এবং অ্যাপ্লিকেশন আইকন পর্যন্ত বিস্তৃত।

এই অস্ত্রাগারের সবচেয়ে বহুল ব্যবহৃত টুল, জেন্টলকিলার, আটটি স্বতন্ত্র সংস্করণে বিদ্যমান। প্রতিটি সংস্করণ একটি ভিন্ন বৈধ নিরাপত্তা পণ্যের অনুকরণ করে এবং একটি BYOVD অ্যাটাক চেইনের অংশ হিসেবে একটি পৃথক দুর্বল বা ক্ষতিকারক ড্রাইভারকে অপব্যবহার করে। এই ফ্রেমওয়ার্কটি অসংখ্য বিক্রেতার ৪৮টি ভিন্ন নিরাপত্তা সমাধানের সাথে যুক্ত প্রায় ৪০০টি প্রসেস শনাক্ত ও লক্ষ্যবস্তু করতে সক্ষম।

দুর্বল চালকদের উপর ক্রমবর্ধমান নির্যাতন

সাম্প্রতিক মাসগুলোতে একাধিক BYOVD ক্যাম্পেইনে PoisonX.sys ড্রাইভারটির অপব্যবহার বৃদ্ধি পেয়েছে। একটি ঘটনায়, CrowdStrike Falcon EDR প্ল্যাটফর্মটি বন্ধ করে দিতে এই ড্রাইভারটি ব্যবহার করা হয়েছিল। অন্য একটি ক্যাম্পেইনে, আক্রমণকারীরা প্রথমে PoisonX.sys এবং hrwfpdrv.sys-এর মাধ্যমে নিরাপত্তা পণ্যগুলো নিষ্ক্রিয় করে দিয়ে, BeyondTrust Remote Support-এর দুর্বলতার সুযোগ নিয়ে ভুক্তভোগীর নেটওয়ার্কে র‍্যানসমওয়্যার স্থাপন করেছিল।

ব্র্যান্ডিং এবং ড্রাইভার নির্বাচনের পার্থক্যগুলো বাদ দিলেও, এই EDR কিলারগুলোর অন্তর্নিহিত কোডে উল্লেখযোগ্য কাঠামোগত এবং আচরণগত সাদৃশ্য দেখা যায়, যা একটি অভিন্ন উন্নয়ন টেমপ্লেট ব্যবহারের জোরালো ইঙ্গিত দেয়।

তৃতীয় পক্ষের ইডিআর কিলারগুলি অস্ত্রাগারে একীভূত করা হয়েছে

জেন্টলম্যান'স টুলকিটে বেশ কয়েকটি বাহ্যিক BYOVD-ভিত্তিক EDR কিলার অন্তর্ভুক্ত রয়েছে:

• HexKiller (googleApiUtil64.sys), যা পূর্বে শুধুমাত্র Warlock র‍্যানসমওয়্যার গ্রুপের বলে মনে করা হতো।
• ThrottleBlood (ThrottleBlood.sys), যা MedusaLocker এবং DragonForce-এর সহযোগী সংগঠনগুলোর সাথে যুক্ত আক্রমণে দেখা যায়, এবং HavocKiller বা HwAudKiller (havoc.sys)।
• অক্সাইডহারভেস্ট র‍্যানসমওয়্যারের বাইরেও হুমকি প্রসারিত করছে

গবেষকরা অক্সাইডহারভেস্ট (OxideHarvest) নামে একটি রাস্ট-ভিত্তিক ক্রেডেনশিয়াল-চুরি করা ম্যালওয়্যারও শনাক্ত করেছেন, যা বিল্ডএক্স৬৪১ (buildx641) নামেও পরিচিত। এই স্টিলারটি বেশ কিছু জনপ্রিয় ব্রাউজার থেকে সংবেদনশীল তথ্য সংগ্রহ করতে সক্ষম, যার মধ্যে রয়েছে:

গুগল ক্রোম, মাইক্রোসফট এজ, টর্চ, কোমোডো, এপিক প্রাইভেসি ব্রাউজার, ভিভাল্ডি, ব্রেভ, অপেরা, অপেরা জিএক্স, মোজিলা ফায়ারফক্স, ওয়াটারফক্স, ব্ল্যাকহক এবং আইসক্যাট।

একটি কেন্দ্রীভূত মডেল যা অ্যাফিলিয়েটদের আকর্ষণ করে

যদিও অনেক র‍্যানসমওয়্যার গ্রুপ EDR বাইপাস অপারেশনের দায়িত্ব তাদের সহযোগীদের ওপর ছেড়ে দেয়, ‘দ্য জেন্টলমেন’ সহযোগীদের একটি ব্যবহারযোগ্য ও মানসম্মত EDR-কিলার স্যুট সরবরাহ করে এই সক্ষমতাকে কেন্দ্রীভূত করার সিদ্ধান্ত নিয়েছে। এই কৌশলটি সহযোগীদের জন্য প্রযুক্তিগত প্রবেশের বাধা উল্লেখযোগ্যভাবে কমিয়ে দেয়, র‍্যানসমওয়্যার স্থাপনকে সহজ করে এবং সাইবার অপরাধী মহলে এই অপারেশনের সামগ্রিক আকর্ষণ বাড়িয়ে তোলে।