ShrinkLocker Ransomware

উইন্ডোজের মধ্যে মাইক্রোসফ্টের শক্তিশালী এনক্রিপশন সফ্টওয়্যার উপলব্ধতার কারণে অসংখ্য র্যানসমওয়্যার অপারেটররা তাদের ম্যালওয়্যার হুমকিতে একটি ক্রিপ্টো-লকিং প্রক্রিয়া সংহত করার প্রয়োজনীয়তা নিয়ে প্রশ্ন তুলছে। সাইবারসিকিউরিটি বিশেষজ্ঞদের দ্বারা হাইলাইট করা একটি উল্লেখযোগ্য উদাহরণ হল ShrinkLocker। এই ransomware ভেরিয়েন্টটি Windows BitLocker ব্যবহার করে কর্পোরেট সিস্টেম এনক্রিপ্ট করার জন্য একটি নতুন বুট পার্টিশন স্থাপন করে।

বৈধ উইন্ডোজ বৈশিষ্ট্যের অপব্যবহার করে অভিনেতাদের ডেটা লক করার হুমকি

কম্পিউটার এনক্রিপ্ট করতে BitLocker নিয়োগ করে ransomware এর উদাহরণ অস্বাভাবিক নয়। একটি ক্ষেত্রে, একজন হুমকি অভিনেতা বেলজিয়ামের একটি হাসপাতালে 40টি সার্ভার জুড়ে 100TB ডেটা এনক্রিপ্ট করতে উইন্ডোজের মধ্যে এই সুরক্ষা বৈশিষ্ট্যটি ব্যবহার করেছেন। একইভাবে, অন্য একজন আক্রমণকারী মস্কো-ভিত্তিক মাংস উৎপাদনকারী এবং পরিবেশকের অন্তর্গত সিস্টেম এনক্রিপ্ট করতে বিটলকার ব্যবহার করেছিল। মাইক্রোসফ্ট সেপ্টেম্বর 2022-এ একটি সতর্কতা জারি করে, প্রকাশ করে যে একজন ইরানি রাষ্ট্র-স্পন্সর আক্রমণকারী Windows 10, Windows 11, বা Windows Server 2016 এবং তার পরবর্তী চলমান সিস্টেমগুলিকে এনক্রিপ্ট করার জন্য BitLocker নিয়োগ করেছিল।

যাইহোক, ShrinkLocker যাচাই করার পরে, বিশেষজ্ঞরা সতর্ক করে দেন যে এই হুমকিটি পূর্বে অপ্রকাশিত বৈশিষ্ট্যগুলিকে প্রদর্শন করে যার লক্ষ্য আক্রমণের প্রভাবের পরিমাণ বৃদ্ধি করা।

ShrinkLocker শুধুমাত্র তখনই কার্যকর করা হয় যখন কিছু নির্দিষ্টকরণ পূরণ হয়

ShrinkLocker, ভিজ্যুয়াল বেসিক স্ক্রিপ্টিং (VBScript) এ কোডেড, একটি ভাষা যা মাইক্রোসফ্ট 1996 সালে প্রবর্তন করেছিল এবং এখন এটি বের হওয়ার পথে। এর কার্যকারিতাগুলির মধ্যে, হুমকিটি Win32_OperatingSystem ক্লাসের সাথে Windows ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন (WMI) ব্যবহার করে লক্ষ্য মেশিনে চলমান নির্দিষ্ট উইন্ডোজ সংস্করণ সনাক্ত করার ক্ষমতা প্রদর্শন করে।

আক্রমণটি শুধুমাত্র নির্দিষ্ট অবস্থার অধীনেই এগিয়ে যায়, যেমন বর্তমান ডোমেনটি লক্ষ্যের সাথে মিলে যায় এবং অপারেটিং সিস্টেম (OS) সংস্করণটি Vista থেকে নতুন। অন্যথায়, ShrinkLocker স্বয়ংক্রিয়ভাবে শেষ হয় এবং স্ব-মুছে যায়। যখন টার্গেট আক্রমণের মানদণ্ড পূরণ করে, ম্যালওয়্যারটি উইন্ডোজের ডিস্ক পার্ট ইউটিলিটি ব্যবহার করে প্রতিটি নন-বুট পার্টিশনকে 100MB দ্বারা সঙ্কুচিত করে, অপরিবর্তিত স্থানটিকে অভিন্ন আকারের নতুন প্রাথমিক ভলিউমে বিভক্ত করে।

গবেষকরা নোট করেছেন যে Windows 2008 এবং 2012-এ, ShrinkLocker Ransomware প্রাথমিকভাবে অন্যান্য ভলিউমের সূচী সহ বুট ফাইলগুলিকে সংরক্ষণ করে। একই ধরনের রিসাইজ অপারেশন অন্যান্য উইন্ডোজ ওএস সংস্করণে পরিচালিত হয়, যদিও বিভিন্ন কোড সেগমেন্ট রয়েছে, যেমনটি গবেষকদের প্রযুক্তিগত বিশ্লেষণে উল্লেখ করা হয়েছে। পরবর্তীকালে, ম্যালওয়্যারটি নতুন জেনারেট করা পার্টিশনে বুট ফাইলগুলি পুনরায় ইনস্টল করতে BCDEdit কমান্ড-লাইন টুল ব্যবহার করে।

ShrinkLocker Ransomware সমগ্র ড্রাইভ পার্টিশনের ডেটা অব্যবহারযোগ্য করে দেয়

ShrinkLocker দূরবর্তী ডেস্কটপ সংযোগগুলি নিষ্ক্রিয় করতে বা বিশ্বস্ত প্ল্যাটফর্ম মডিউল (TPM) ছাড়া হোস্টগুলিতে BitLocker এনক্রিপশন সক্ষম করতে রেজিস্ট্রি এন্ট্রিগুলিও সংশোধন করে৷ এই ডেডিকেটেড চিপ হার্ডওয়্যার-ভিত্তিক, নিরাপত্তা-সম্পর্কিত ফাংশন প্রদান করে।

ShrinkLocker পিছনে হুমকি অভিনেতা শিকারের সাথে একটি যোগাযোগ চ্যানেল স্থাপন করার জন্য একটি মুক্তিপণ ফাইল ফেলে না. পরিবর্তে, তারা নতুন বুট পার্টিশনের লেবেল হিসাবে একটি যোগাযোগের ইমেল ঠিকানা (onboardingbinder@proton.me, conspiracyid9@protonmail.com) প্রদান করে। যাইহোক, এই লেবেলটি প্রশাসকদের দ্বারা দেখা যাবে না যদি না তারা একটি পুনরুদ্ধার পরিবেশ ব্যবহার করে বা অন্যান্য ডায়াগনস্টিক সরঞ্জামগুলির মাধ্যমে ডিভাইসটি বুট না করে, এটিকে মিস করা মোটামুটি সহজ করে তোলে৷

ড্রাইভগুলি এনক্রিপ্ট করার পরে, হুমকি অভিনেতা বিটলকার প্রটেক্টর (যেমন, TPM, পিন, স্টার্টআপ কী, পাসওয়ার্ড, পুনরুদ্ধার পাসওয়ার্ড, পুনরুদ্ধার কী) মুছে ফেলেন যাতে শিকারকে বিটলকারের এনক্রিপশন কী পুনরুদ্ধার করার কোনও বিকল্প অস্বীকার করা হয়, যা আক্রমণকারীকে পাঠানো হয়।

ফাইল এনক্রিপ্ট করার জন্য উত্পন্ন কী হল 64-অক্ষরের এলোমেলো গুণের সংমিশ্রণ এবং 0-9 সংখ্যা, বিশেষ অক্ষর এবং হোলোঅ্যালফাবেটিক বাক্য 'দ্য দ্রুত ব্রাউন ফক্স জাম্পস ওভার দ্য ল্যাজি ডগ' সহ একটি ভেরিয়েবলের প্রতিস্থাপন। চাবিটি ট্রাইক্লাউডফ্লেয়ার টুলের মাধ্যমে বিতরণ করা হয়, যা ডেভেলপারদের ক্লাউডফ্লেয়ারের ডিএনএস-এ কোনো সাইট যোগ না করেই ক্লাউডফ্লেয়ারের টানেল নিয়ে পরীক্ষা করার জন্য একটি বৈধ পরিষেবা।

আক্রমণের চূড়ান্ত পর্যায়ে, সমস্ত পরিবর্তন কার্যকর হওয়ার জন্য ShrinkLocker সিস্টেমটিকে বন্ধ করতে বাধ্য করে এবং ব্যবহারকারীকে ড্রাইভ লক করে রেখে দেয় এবং BitLocker পুনরুদ্ধারের বিকল্প নেই।

ShrinkLocker হুমকি অভিনেতা আর্থিকভাবে চালিত নাও হতে পারে

বিটলকার পুনরুদ্ধার স্ক্রীনে একটি ব্যক্তিগতকৃত বার্তা তৈরি করার বিকল্প অফার করে, যা শিকারদের একটি চাঁদাবাজি বার্তা প্রদর্শনের জন্য একটি আদর্শ প্ল্যাটফর্ম প্রদান করে। একটি প্রধানভাবে প্রদর্শিত মুক্তিপণ নোটের অনুপস্থিতি এবং শুধুমাত্র একটি ড্রাইভ লেবেল হিসাবে মনোনীত একটি ইমেল প্রস্তাব করতে পারে যে এই আক্রমণগুলি আর্থিক উদ্দেশ্য দ্বারা চালিত না হয়ে প্রকৃতিতে আরও ধ্বংসাত্মক হওয়ার উদ্দেশ্যে করা হয়েছে৷

গবেষকরা আবিষ্কার করেছেন যে ShrinkLocker একাধিক রূপের মধ্যে প্রকাশ পায় এবং একটি সরকারি সত্তার পাশাপাশি মেক্সিকো, ইন্দোনেশিয়া এবং জর্ডানের ইস্পাত এবং ভ্যাকসিন উত্পাদন খাতের মধ্যে সংস্থাগুলির বিরুদ্ধে মোতায়েন করা হয়েছে৷

তাদের সিস্টেমে BitLocker নিয়োগকারী সংস্থাগুলিকে পুনরুদ্ধার কীগুলির সুরক্ষিত সঞ্চয়স্থান নিশ্চিত করার এবং নিয়মিত অফলাইন ব্যাকআপগুলি বজায় রাখার জন্য দৃঢ়ভাবে পরামর্শ দেওয়া হয় যা পর্যায়ক্রমে পরীক্ষা করা হয়। তদুপরি, বিটলকার অপব্যবহারের প্রচেষ্টা সনাক্ত করতে, ব্যবহারকারীর ন্যূনতম সুযোগ-সুবিধা প্রয়োগ করতে, নেটওয়ার্ক ট্র্যাফিকের ব্যাপক লগিং এবং পর্যবেক্ষণ সক্ষম করতে (GET এবং POST অনুরোধ উভয়ই সহ), এর সাথে সম্পর্কিত ইভেন্টগুলি ট্র্যাক করতে একটি সঠিকভাবে কনফিগার করা এন্ডপয়েন্ট প্রোটেকশন প্ল্যাটফর্ম (EPP) সমাধান স্থাপন করার জন্য সংস্থাগুলিকে অনুরোধ করা হচ্ছে। VBS এবং PowerShell এক্সিকিউশন, এবং লগ প্রাসঙ্গিক স্ক্রিপ্ট।

ShrinkLocker Ransomware ভিডিও

টিপ: আপনার সাউন্ড চালু করুন এবং পূর্ণ স্ক্রীন মোডে ভিডিওটি দেখুন ।