বিক্ষিপ্ত স্পাইডার র‍্যানসমওয়্যার আক্রমণ

স্ক্যাটার্ড স্পাইডার, একটি পরিশীলিত এবং আক্রমণাত্মক সাইবার অপরাধ গোষ্ঠী, VMware ESXi হাইপারভাইজারদের বিরুদ্ধে তাদের আক্রমণ তীব্র করেছে। উত্তর আমেরিকার খুচরা, বিমান সংস্থা এবং পরিবহনের মতো গুরুত্বপূর্ণ ক্ষেত্রগুলিকে লক্ষ্য করে, এই গোষ্ঠীর কার্যক্রমগুলি গণনা করা, ইচ্ছাকৃত এবং ধ্বংসাত্মকভাবে কার্যকর। তাদের সাফল্য সফ্টওয়্যার শোষণের উপর নয় বরং সামাজিক প্রকৌশল এবং বিশ্বস্ত সিস্টেমের হেরফের উপর তাদের দক্ষতার উপর নির্ভর করে।

শোষণ ছাড়া কৌশল: মূলে সামাজিক প্রকৌশল

সফটওয়্যারের দুর্বলতাগুলোকে কাজে লাগানোর পরিবর্তে, স্ক্যাটারড স্পাইডার একটি পরীক্ষিত এবং পরীক্ষিত কৌশলের উপর নির্ভর করে: ফোন-ভিত্তিক সোশ্যাল ইঞ্জিনিয়ারিং। এই দলটি প্রায়শই উচ্চ-সুবিধাপ্রাপ্ত প্রশাসক সহ বৈধ কর্মীদের ছদ্মবেশে আইটি সহায়তা ডেস্কের সাথে যোগাযোগ করে। এই কলগুলি একটি বৃহত্তর প্রচারণা-চালিত কৌশলের অংশ, যার ফলে তাদের আক্রমণগুলি এলোমেলো হয়ে যায়। তারা একটি প্রতিষ্ঠানের মধ্যে সবচেয়ে সংবেদনশীল সিস্টেম এবং ডেটা লক্ষ্য করার জন্য তাদের কার্যক্রমগুলি সাবধানতার সাথে পরিকল্পনা করে।

স্ক্যাটারড স্পাইডার অ্যাক্টররা এমন প্রতারণামূলক ডোমেন নিবন্ধনের জন্য পরিচিত যা তাদের লক্ষ্যবস্তুর অবকাঠামো বা লগইন পোর্টালের সাথে ঘনিষ্ঠভাবে অনুকরণ করে। সাধারণ নামকরণের ধরণগুলির মধ্যে রয়েছে:

• ভিকটিমনেম-এসএসও.কম
• ভিকটিমনেম-ওকটা.কম
• ভিকটিমনেম-সার্ভিসেস্ক.কম
• sso-victimname.com সম্পর্কে
• servicenow-victimname.com সম্পর্কে

হেল্প ডেস্ক থেকে হাইপারভাইজার: মাল্টি-ফেজ অ্যাটাক চেইন

স্ক্যাটারড স্পাইডারের আক্রমণ পদ্ধতি পাঁচটি কৌশলগত পর্যায়ের মধ্য দিয়ে প্রকাশিত হয়, প্রতিটি পর্যায়ে অ্যাক্সেস বৃদ্ধি এবং সনাক্তকরণ কমানোর জন্য ডিজাইন করা হয়েছে:

প্রাথমিক প্রবেশাধিকার এবং বিশেষাধিকার বৃদ্ধি
আক্রমণকারীরা সামাজিক প্রকৌশল ব্যবহার করে কর্মচারীদের ছদ্মবেশ ধারণ করে, পরিচয়পত্র সংগ্রহ করে এবং অভ্যন্তরীণ নথিপত্র সংগ্রহ করে। তারা প্রায়শই HashiCorp Vault এর মতো পাসওয়ার্ড পরিচালকদের কাছ থেকে ডেটা বের করে এবং প্রশাসকের পাসওয়ার্ড রিসেট করার জন্য IT সহায়তা প্রক্রিয়াগুলিকে কাজে লাগায়।

vSphere-এ পার্শ্বীয় চলাচল
VMware পরিবেশে ম্যাপ করা অ্যাক্টিভ ডিরেক্টরি শংসাপত্রগুলি ব্যবহার করে, তারা vCenter সার্ভার অ্যাপ্লায়েন্স (vCSA) অ্যাক্সেস করে। টেলিপোর্ট নামক একটি টুল একটি এনক্রিপ্টেড রিভার্স শেল তৈরি করতে মোতায়েন করা হয় যা ফায়ারওয়াল নিয়মগুলিকে বাইপাস করে এবং স্থায়ী অ্যাক্সেস স্থাপন করে।

হাইপারভাইজার ম্যানিপুলেশন এবং ডেটা এক্সট্রাকশন
ESXi হোস্টে SSH সক্রিয় থাকে, রুট পাসওয়ার্ড রিসেট করা হয় এবং একটি 'ডিস্ক-সোয়াপ' আক্রমণ কার্যকর করা হয়। এর মধ্যে একটি ডোমেন কন্ট্রোলার VM বন্ধ করা, এর ভার্চুয়াল ডিস্ক বিচ্ছিন্ন করা, এটি একটি আক্রমণকারী-নিয়ন্ত্রিত VM-এর সাথে সংযুক্ত করা এবং প্রক্রিয়াটি বিপরীত করার আগে NTDS.dit ডাটাবেস বের করা অন্তর্ভুক্ত।

পুনরুদ্ধার প্রক্রিয়া অক্ষম করা
ব্যাকআপ জব, স্ন্যাপশট এবং রিপোজিটরি মুছে ফেলা হয় পুনরুদ্ধারের বিকল্পগুলি বাদ দিতে এবং আক্রমণের প্রভাবকে আরও বাড়িয়ে তুলতে।

র‍্যানসমওয়্যার স্থাপনা
কাস্টম র‍্যানসমওয়্যার বাইনারিগুলিকে SCP বা SFTP এর মাধ্যমে আপোসপ্রাপ্ত ESXi হোস্টে পুশ করা হয়, যা ভার্চুয়াল পরিবেশ জুড়ে গুরুত্বপূর্ণ সিস্টেমগুলিকে এনক্রিপ্ট করে।

বিক্ষিপ্ত মাকড়সার গতি এবং গোপনীয়তা

0ktapus, Muddled Libra, Octo Tempest, এবং UNC3944 এর মতো উপনাম দ্বারা পরিচিত Scattered Spider, ঐতিহ্যবাহী র‍্যানসমওয়্যার অ্যাক্টরদের থেকে আলাদা, তাদের কার্যক্রমের গতি এবং গোপনতা। বিশেষজ্ঞরা মনে করেন যে প্রাথমিক অ্যাক্সেস থেকে র‍্যানসমওয়্যার স্থাপন পর্যন্ত পুরো আক্রমণ মাত্র কয়েক ঘন্টার মধ্যেই ঘটতে পারে। কিছু ক্ষেত্রে, 48 ঘন্টারও কম সময়ে 100 GB এরও বেশি ডেটা অপসারণ করা হয়েছে। এই গোষ্ঠীটিকে DragonForce র‍্যানসমওয়্যার প্রোগ্রামের সাথেও যুক্ত করা হয়েছে, যা তাদের ক্ষমতা আরও বাড়িয়েছে।

প্রতিরক্ষা কৌশল পরিবর্তন: EDR থেকে অবকাঠামো-কেন্দ্রিক নিরাপত্তায়

এই আক্রমণের প্রকৃতির কারণে, স্ট্যান্ডার্ড এন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (EDR) টুলগুলি যথেষ্ট নাও হতে পারে। স্ক্যাটার্ড স্পাইডারের বিরুদ্ধে প্রতিরক্ষার জন্য একটি সামগ্রিক, অবকাঠামো-কেন্দ্রিক পদ্ধতির প্রয়োজন। নিম্নলিখিত স্তরযুক্ত প্রতিরক্ষা কৌশলটি দৃঢ়ভাবে সুপারিশ করা হচ্ছে:

স্তর ১: vSphere এবং হাইপারভাইজার শক্তকরণ

• vSphere-এ লকডাউন মোড সক্ষম করুন
• শুধুমাত্র execInstalled বলবৎ করুন
• VM এনক্রিপশন ব্যবহার করুন
• অব্যবহৃত বা পুরনো ভার্চুয়াল মেশিনগুলি অবসর দিন।
• ছদ্মবেশ ধারণের কৌশলের বিরুদ্ধে হেল্প ডেস্ককে সুরক্ষিত এবং প্রশিক্ষণ দিন।

স্তর ২: পরিচয় এবং অ্যাক্সেস সুরক্ষা

• ফিশিং-প্রতিরোধী মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) বাস্তবায়ন করুন।
• গুরুত্বপূর্ণ পরিচয় পরিকাঠামো আলাদা করুন।
• আক্রমণকারীরা যে বৃত্তাকার প্রমাণীকরণ নির্ভরতা কাজে লাগাতে পারে তা এড়িয়ে চলুন।

স্তর ৩: পর্যবেক্ষণ এবং ব্যাকআপ আইসোলেশন

• মূল অবকাঠামো থেকে লগ পর্যবেক্ষণ কেন্দ্রীভূত করুন।
• অ্যাক্টিভ ডিরেক্টরি অ্যাক্সেস থেকে ব্যাকআপগুলি আলাদা করুন।

উপসংহার: র‍্যানসমওয়্যার ঝুঁকির এক নতুন যুগ

vSphere ইকোসিস্টেম, বিশেষ করে ESXi হোস্ট এবং vCenter সার্ভারকে লক্ষ্য করে তৈরি র‍্যানসমওয়্যার, দ্রুত, বৃহৎ পরিসরে ব্যাঘাত ঘটার সম্ভাবনার কারণে একটি গুরুতর হুমকি তৈরি করে। Scattered Spider-এর কার্যক্রমের গণনাকৃত প্রকৃতি প্রতিষ্ঠানগুলিকে তাদের প্রতিরক্ষামূলক অবস্থান পুনর্বিবেচনা করার প্রয়োজনীয়তা তুলে ধরে। এই ঝুঁকিগুলিকে উপেক্ষা করা বা প্রস্তাবিত প্রতিকার বাস্তবায়নে বিলম্ব করা ভয়াবহ পরিণতির দিকে নিয়ে যেতে পারে, যার মধ্যে রয়েছে গুরুতর ডাউনটাইম, ডেটা ক্ষতি এবং আর্থিক ক্ষতি।