ScRansom Ransomware
কসমিকবিটল নামে পরিচিত হুমকি অভিনেতা ScRansom নামে একটি নতুন কাস্টম র্যানসমওয়্যার ভেরিয়েন্ট চালু করেছে, বিশেষ করে ইউরোপ, এশিয়া, আফ্রিকা এবং দক্ষিণ আমেরিকা জুড়ে ছোট- এবং মাঝারি আকারের ব্যবসা (এসএমবি) লক্ষ্য করে। উপরন্তু, কসমিকবিটলকে RansomHub গ্রুপের সহযোগী হিসেবে কাজ করার সন্দেহ করা হচ্ছে।
পূর্বে Scarab Ransomware ব্যবহার করে, CosmicBeetle এখন ScRansom-এ রূপান্তরিত হয়েছে, যা চলমান বিকাশের অধীনে রয়েছে। যদিও র্যানসমওয়্যার পরিশীলিতকরণের অগ্রভাগে নয়, গ্রুপটি এখনও উল্লেখযোগ্য লক্ষ্যগুলির সাথে আপস করতে সক্ষম হয়েছে।
সুচিপত্র
কসমিনবিটল বিভিন্ন সেক্টরকে লক্ষ্য করে
ScRansom আক্রমণগুলি ম্যানুফ্যাকচারিং, ফার্মাসিউটিক্যালস, আইনি, শিক্ষা, স্বাস্থ্যসেবা, প্রযুক্তি, আতিথেয়তা, অবসর, আর্থিক পরিষেবা এবং আঞ্চলিক সরকার সহ বিস্তৃত সেক্টরকে লক্ষ্যবস্তু করেছে।
CosmicBeetle, NONAME নামেও পরিচিত, তার হুমকির টুলকিট, Spacecolon এর জন্য সবচেয়ে বেশি স্বীকৃত, যেটি আগে বিশ্বব্যাপী ক্ষতিগ্রস্তদের কাছে Scarab Ransomware সরবরাহ করতে ব্যবহৃত হয়েছিল। গোষ্ঠীটি ফাঁস হওয়া লকবিট নির্মাতার সাথে পরীক্ষা করার জন্যও পরিচিত, 2023 সালের নভেম্বরের প্রথম দিকে মুক্তিপণ নোটে এবং ফাঁস সাইটগুলিতে কুখ্যাত লকবিট র্যানসমওয়্যার গ্রুপের ছদ্মবেশী করার চেষ্টা করে।
হামলাকারীদের পরিচয় ও উৎপত্তি এখনও স্পষ্ট নয়। পূর্বের একটি তত্ত্ব, যা এখন অসম্ভাব্য বলে বিবেচিত হয়েছে, পরামর্শ দিয়েছে যে তারা তুর্কি বংশোদ্ভূত হতে পারে কারণ একটি কাস্টম এনক্রিপশন পদ্ধতি SchHackTool নামে অন্য একটি টুলে পাওয়া গেছে।
সাইবার অপরাধীদের দ্বারা শোষিত একাধিক দুর্বলতা
পাশবিক শক্তি আক্রমণ এবং বেশ কয়েকটি পরিচিত নিরাপত্তা দুর্বলতা (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2021-42287, CVE-2025- এবং CVE-2025-42272, এবং -27532) লক্ষ্য পরিবেশে প্রবেশ করতে।
নিরাপত্তা প্রক্রিয়া বন্ধ করতে এবং ডেলফি-ভিত্তিক ScRansom Ransomware মোতায়েনের আগে সনাক্তকরণ এড়াতে Reaper, Darkside , এবং RealBlindingEDR-এর মতো বিভিন্ন সরঞ্জাম ব্যবহার করাও জড়িত। এনক্রিপশন প্রক্রিয়াকে ত্বরান্বিত করতে ScRansom-এ আংশিক এনক্রিপশনের বৈশিষ্ট্য রয়েছে এবং এতে একটি 'ERASE' মোড রয়েছে যা একটি ধ্রুবক মান সহ ফাইলগুলিকে ওভাররাইট করে, সেগুলিকে পুনরুদ্ধারযোগ্য করে তোলে।
RansomHub এর সাথে সম্ভাব্য সংযোগ
RansomHub-এর লিঙ্কটি ইনফোসেক গবেষকদের পর্যবেক্ষণ থেকে উদ্ভূত হয়েছে যারা ScRansom এবং RansomHub পেলোডগুলিকে এক সপ্তাহের মধ্যে একই মেশিনে স্থাপন করা হয়েছে। স্ক্র্যাচ থেকে কাস্টম র্যানসমওয়্যার বিকাশের চ্যালেঞ্জ মোকাবেলা করে, কসমিকবিটল লকবিটের খ্যাতি লাভ করার চেষ্টা করেছে বলে মনে হচ্ছে। এই কৌশলটি তাদের র্যানসমওয়্যারের ত্রুটিগুলিকে অস্পষ্ট করার উদ্দেশ্যে এবং ক্ষতিগ্রস্থদের মুক্তিপণ পরিশোধ করার সম্ভাবনাকে উন্নত করার উদ্দেশ্যে হতে পারে।
Ransomware অপারেটররা তাদের ক্ষতিকারক টুল আপডেট করে
জুলাই 2024 সাল থেকে, Cicada3301 Ransomware (Repellent Scorpius নামেও পরিচিত) এর সাথে জড়িত হুমকি অভিনেতাদের তাদের এনক্রিপ্টারের একটি আপডেট সংস্করণ ব্যবহার করে দেখা গেছে। এই নতুন সংস্করণটিতে একটি কমান্ড-লাইন আর্গুমেন্ট রয়েছে, --নো-নোট, যা এনক্রিপ্টরকে সিস্টেমে একটি মুক্তিপণ নোট লিখতে বাধা দেয়।
অতিরিক্তভাবে, আপডেট করা এনক্রিপ্টরে আর বাইনারির মধ্যে হার্ড-কোডেড ব্যবহারকারীর নাম বা পাসওয়ার্ড থাকে না। যাইহোক, এটি এখনও বিদ্যমান শংসাপত্র ব্যবহার করে PsExec চালাতে পারে, একটি কৌশল সম্প্রতি মরফিসেক দ্বারা উল্লেখ করা হয়েছে। আশ্চর্যজনকভাবে, ইনফোসেক গবেষকরা প্রমাণ সনাক্ত করেছেন যে গোষ্ঠীটি সিকাডা 3301 নামের অধীনে পরিচালিত হওয়ার আগে ঘটে যাওয়া পুরানো সমঝোতার ডেটা থাকতে পারে।
এটি সম্ভাবনা বাড়ায় যে হুমকি অভিনেতা পূর্বে একটি ভিন্ন ransomware ব্র্যান্ডের অধীনে পরিচালিত হতে পারে বা অন্যান্য ransomware গ্রুপ থেকে ডেটা অর্জন করতে পারে।
