Osiris Ransomware Family

২০২৫ সালের নভেম্বরে দক্ষিণ-পূর্ব এশিয়ার একটি প্রধান খাদ্য পরিষেবা ফ্র্যাঞ্চাইজি অপারেটরের উপর আক্রমণের পর সাইবার নিরাপত্তা গবেষকরা ওসিরিস নামে একটি পূর্বে নথিভুক্ত না থাকা র‍্যানসমওয়্যার পরিবারের সন্ধান পেয়েছেন। বিশ্লেষণে দেখা গেছে যে এটি একটি নতুন বিকশিত র‍্যানসমওয়্যার স্ট্রেন এবং ২০১৬ সালের ডিসেম্বরে দেখা যাওয়া ওসিরিস ভেরিয়েন্টের সাথে সম্পর্কিত নয় যা লকি থেকে উদ্ভূত হয়েছিল। ডেভেলপারদের পরিচয় অজানা রয়ে গেছে এবং র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস অপারেশনের অংশ হিসাবে ম্যালওয়্যারটি সরবরাহ করা হয়েছে কিনা তা নিশ্চিত হওয়া যায়নি।

আক্রমণ শৃঙ্খল এবং প্রাথমিক আপস

র‍্যানসমওয়্যার স্থাপনের আগে সংবেদনশীল তথ্য চুরি করে নেওয়ার ঘটনাটিই ভিকটিম নেটওয়ার্কে নিশ্চিত হওয়া প্রথম দিকের ক্ষতিকারক কার্যকলাপের মধ্যে ছিল। আক্রমণকারীরা Rclone ব্যবহার করে ওয়াসাবিতে হোস্ট করা ক্লাউড স্টোরেজ বাকেটে তথ্য স্থানান্তর করে। এই ধাপের পরে নিয়ন্ত্রণ প্রতিষ্ঠা, পার্শ্বীয়ভাবে চলাচল এবং এনক্রিপশনের জন্য পরিবেশ প্রস্তুত করার জন্য পর্যায়ক্রমে টুলিং প্রবর্তন করা হয়েছিল।

স্বাভাবিক প্রশাসনিক কার্যকলাপের সাথে মিশে যাওয়া এবং প্রাথমিক সনাক্তকরণ কমানোর জন্য দূরবর্তী ব্যবস্থাপনার উপাদানগুলির সাথে বিভিন্ন ধরণের জীবন্ত-অফ-দ্য-ল্যান্ড এবং দ্বৈত-ব্যবহারের ইউটিলিটি ব্যবহার করা হয়েছিল।

আইএনসি র‍্যানসমওয়্যার অপারেশনের সন্দেহজনক লিঙ্ক

বেশ কিছু সূচক ইঙ্গিত দেয় যে পূর্বে INC র‍্যানসমওয়্যারের সাথে যুক্ত ব্যক্তিদের (যা Warble নামেও পরিচিত) সাথে সম্ভাব্য ওভারল্যাপ রয়েছে। উল্লেখযোগ্যভাবে, আক্রমণকারীরা একই ফাইল নাম kaz.exe সহ Mimikatz-এর একটি সংস্করণ ব্যবহার করেছিল, যা পূর্ববর্তী INC-সম্পর্কিত ঘটনাগুলিতে দেখা গেছে। অতিরিক্তভাবে, বহিষ্কার পরিকাঠামো এবং ট্রেডক্রাফ্ট পূর্বে সেই বাস্তুতন্ত্রের সাথে সম্পর্কিত কৌশলগুলিকে ঘনিষ্ঠভাবে প্রতিফলিত করে, যদিও কোনও নির্দিষ্ট বৈশিষ্ট্য প্রতিষ্ঠিত হয়নি।

দরিদ্র ড্রাইভার এবং BYOVD কৌশল

এই অনুপ্রবেশের একটি কেন্দ্রীয় বৈশিষ্ট্য ছিল POORTRY নামে পরিচিত একটি দূষিত ড্রাইভারের মোতায়েন, যা এন্ডপয়েন্ট প্রতিরক্ষাকে নিরপেক্ষ করার জন্য একটি bring-your-own-vulnerable-driver (BYOVD) স্টাইল আক্রমণে ব্যবহৃত হয়েছিল। বৈধ কিন্তু ত্রুটিপূর্ণ ড্রাইভারের উপর নির্ভর করে এমন ঐতিহ্যবাহী BYOVD অপারেশনের বিপরীতে, POORTRY হল একটি বেসপোক ড্রাইভার যা বিশেষভাবে সুবিধাগুলি উন্নত করার এবং সুরক্ষা সরঞ্জামগুলি বন্ধ করার জন্য তৈরি করা হয়েছে।

সুরক্ষামূলক সফ্টওয়্যার নিষ্ক্রিয় করার জন্য দুর্বল ড্রাইভার লোড করার জন্য পরিচিত ইউটিলিটি KillAV ব্যবহার করে পরিবেশটি আরও প্রস্তুত করা হয়েছিল। রিমোট ডেস্কটপ প্রোটোকলও সক্ষম করা হয়েছিল, সম্ভবত স্থায়ী ইন্টারেক্টিভ অ্যাক্সেস সহজতর করার জন্য।

ওসিরিস র‍্যানসমওয়্যারের ক্ষমতা

ওসিরিসকে একটি পরিপক্ক এবং কার্যকর এনক্রিপশন পেলোড হিসেবে বর্ণনা করা হয়েছে, যা সম্ভবত অভিজ্ঞ হুমকিদাতাদের দ্বারা পরিচালিত হয়। এটি একটি হাইব্রিড ক্রিপ্টোগ্রাফিক মডেল প্রয়োগ করে এবং প্রতিটি ফাইলের জন্য একটি অনন্য এনক্রিপশন কী তৈরি করে, যা পুনরুদ্ধারের প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে তোলে। র‍্যানসমওয়্যারটি ব্যাপক কনফিগারেশন সমর্থন করে, যা অপারেটরদের ভিকটিম পরিবেশের সাথে কার্যকরকরণকে সূক্ষ্ম-টিউন করার অনুমতি দেয়।

মূল কার্যকরী বৈশিষ্ট্যগুলির মধ্যে রয়েছে:

• পরিষেবা বন্ধ করা, প্রক্রিয়া বন্ধ করা এবং ব্যাকআপ বা পুনরুদ্ধার প্রক্রিয়া অক্ষম করা।
• লক্ষ্যযুক্ত ফোল্ডার এবং ফাইল এক্সটেনশন নির্ধারণ করা, এবং সম্পূর্ণ হওয়ার পরে একটি কাস্টমাইজড মুক্তিপণ নোট তৈরি করা।

ডিফল্টরূপে, ওসিরিসকে উৎপাদনশীলতা সফ্টওয়্যার, ইমেল সার্ভার, ব্রাউজার, টেক্সট এডিটর, ভলিউম শ্যাডো কপি এবং ভিমের মতো এন্টারপ্রাইজ ব্যাকআপ প্ল্যাটফর্মের সাথে সম্পর্কিত প্রক্রিয়া এবং পরিষেবাগুলিকে আক্রমণাত্মকভাবে বন্ধ করার জন্য কনফিগার করা হয়েছে।

অনুপ্রবেশকে সমর্থন করার জন্য ব্যবহৃত সরঞ্জাম

র‍্যানসমওয়্যারের বাইরেও, আক্রমণকারীরা অপারেশনাল নিয়ন্ত্রণ বজায় রাখার জন্য রিকনেসান্স, ল্যাটেরাল মুভমেন্ট এবং রিমোট ম্যানেজমেন্ট ইউটিলিটির একটি টুলকিটের উপর নির্ভর করেছিল। অনুপ্রবেশের সময় পর্যবেক্ষণ করা সরঞ্জামগুলির মধ্যে রয়েছে:

• নেটওয়ার্ক আবিষ্কার এবং সম্পাদনের জন্য নেটস্ক্যান এবং নেটএক্সেক।
• মেশএজেন্ট এবং স্থায়ী দূরবর্তী অ্যাক্সেসের জন্য রাস্টডেস্ক দূরবর্তী ডেস্কটপ অ্যাপ্লিকেশনের একটি কাস্টমাইজড বিল্ড।
• ক্লাউড স্টোরেজে স্বয়ংক্রিয় ডেটা এক্সফিল্ট্রেশনের জন্য Rclone।

বিকশিত চাঁদাবাজির ল্যান্ডস্কেপের জন্য প্রভাব

যদিও র‍্যানসমওয়্যার এনক্রিপ্ট করা প্রতিষ্ঠানগুলির জন্য একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে চলেছে, এই ঘটনাটি বহুমুখী চাঁদাবাজি অভিযানের দিকে একটি বৃহত্তর বিবর্তনকে তুলে ধরে। তথ্য চুরির উপর ক্রমবর্ধমান জোর, দূষিত ড্রাইভারের মাধ্যমে প্রতিরক্ষা ফাঁকি দেওয়া এবং এনক্রিপশনহীন বা হাইব্রিড আক্রমণের ক্রমবর্ধমান প্রসার হুমকির ক্ষেত্রকে প্রসারিত করছে। ফলস্বরূপ, র‍্যানসমওয়্যার একটি বৃহত্তর, আরও জটিল চাঁদাবাজি বাস্তুতন্ত্রের মধ্যে কেবল একটি উপাদান হয়ে উঠছে যার জন্য সমানভাবে অভিযোজিত প্রতিরক্ষামূলক কৌশল প্রয়োজন।