সোমনিয়া র্যানসমওয়্যার
রাশিয়ান হ্যাকাররা ইউক্রেনে লক্ষ্যবস্তুগুলির স্বাভাবিক কার্যক্রমকে ব্যাহত করতে সোমনিয়া হিসাবে ট্র্যাক করা একটি নতুন র্যানসমওয়্যার স্ট্রেন ব্যবহার করছে। ইউক্রেনের দেশে রাশিয়ার আগ্রাসনের পর, ইনফোসেক গবেষকরা ক্রমাগত ইউক্রেনের সরকার এবং বেসরকারী খাতের সত্ত্বাগুলির বিরুদ্ধে আক্রমণ অভিযানের তীব্র বৃদ্ধির রিপোর্ট করেছেন। সোমনিয়া র্যানসমওয়্যার এবং এর অপারেটরদের সম্পর্কে বিশদ CERT-UA (ইউক্রেনের কম্পিউটার ইমার্জেন্সি রেসপন্স টিম) এর একটি প্রতিবেদনে জনসাধারণের কাছে প্রকাশ করা হয়েছে।
সংক্রমণ চেইন
তাদের অনুসন্ধান অনুসারে, সোমনিয়া হামলার জন্য দায়ী সাইবার অপরাধীরা ফ্রম রাশিয়া উইথ লাভ (এফআরডব্লিউএল) নামে একটি রাশিয়াপন্থী হ্যাকটিভিস্ট গ্রুপের অন্তর্ভুক্ত, যাকে জেড-টিম এবং ইউএসি-0118 হিসাবেও ট্র্যাক করা হয়েছে। হুমকি অভিনেতারা স্বয়ংক্রিয় সিস্টেমের অপারেশন, সেইসাথে লঙ্ঘিত লক্ষ্যের অন্তর্গত ইলেকট্রনিক কম্পিউটিং মেশিনগুলিকে প্রভাবিত করতে র্যানসমওয়্যার টুল ব্যবহার করেছিল।
ইনফোসেক বিশেষজ্ঞরা সতর্ক করেছেন যে FRwL একটি বহু-স্তরযুক্ত সংক্রমণ শৃঙ্খল ব্যবহার করে যাতে বেশ কয়েকটি, বিভিন্ন হুমকির সরঞ্জাম জড়িত। প্রাথমিক সমঝোতা ভেক্টরটি 'অ্যাডভান্সড আইপি স্ক্যানার' সফ্টওয়্যার হিসাবে মাস্করেডিং একটি অস্ত্রযুক্ত ইনস্টলার ডাউনলোড এবং কার্যকর করার বিষয়টি নিশ্চিত করা হয়েছে। জাল ফাইলটি বৈধ ওয়েব পোর্টালের অনুকরণে ডেডিকেটেড ওয়েবসাইটের মাধ্যমে বিতরণ করা হচ্ছে। টার্গেট করা প্রতিষ্ঠানের কর্মীরা যারা ফাঁদে পড়ে তারা তাদের কম্পিউটারে Vidar Stealer হুমকি সক্রিয় এবং ইনস্টল করবে।
হুমকি অভিনেতারা তারপর ভিদার ব্যবহার করে ভিকটিমদের টেলিগ্রাম সেশনের ডেটা পেতে এবং পরবর্তীতে তাদের অ্যাকাউন্টের নিয়ন্ত্রণ নিতে। আপস করা অ্যাকাউন্টগুলি আক্রমণকারীরা এমনভাবে ব্যবহার করে যা তাদের ভিপিএন সংযোগ ডেটা সংগ্রহ করতে দেয়৷ যদি VPN-এ পর্যাপ্ত 2FA (টু-ফ্যাক্টর প্রমাণীকরণ) না থাকে তবে FRwL হ্যাকাররা সংস্থার কর্পোরেট নেটওয়ার্কে অননুমোদিত অ্যাক্সেস লাভ করবে। পরবর্তীতে, সাইবার অপরাধীরা একটি কোবাল্ট স্ট্রাইক বীকন স্থাপন করে এবং সংবেদনশীল তথ্য বের করতে বা অতিরিক্ত নজরদারি কার্যক্রম সম্পাদন করতে এগিয়ে যায়।
সোমনিয়া র্যানসমওয়্যারের বিবরণ
সোমনিয়া র্যানসমওয়্যার হুমকি বিভিন্ন ধরণের ফাইলের বিশাল পরিমাণকে প্রভাবিত করতে পারে এবং একটি ক্রিপ্টোগ্রাফিক অ্যালগরিদম ব্যবহার করে সেগুলিকে এনক্রিপ্ট করতে পারে। প্রতিটি লক করা ফাইলের আসল নামের সাথে '.somnia' যুক্ত থাকবে। যদিও বেশিরভাগ র্যানসমওয়্যার অপারেশনগুলি আর্থিকভাবে অনুপ্রাণিত হয়, এটি সোমনিয়ার ক্ষেত্রে নয়। আক্রমণকারীরা তাদের হুমকির হাতিয়ার ব্যবহার করে একটি ডেটা ওয়াইপারের মতো যা শিকারকে তাদের ডেটা অ্যাক্সেস করতে বাধা দেবে। আক্রমণকারীরা মুক্তিপণের জন্য অনুরোধ করে না, কারণ এটি তাদের মূল লক্ষ্য নয়।
CERT-UA-এর গবেষকরা নোট করেছেন যে সোমনিয়া এখনও সক্রিয় বিকাশের অধীনে রয়েছে বলে মনে হচ্ছে। উদাহরণস্বরূপ, হুমকির পূর্ববর্তী সংস্করণগুলি সজ্জিত ছিল এবং প্রতিসম 3DES অ্যালগরিদমের উপর নির্ভর করে। যাইহোক, পরবর্তীতে টার্গেট করা ফাইল প্রকারের এনক্রিপশনের জন্য AES অ্যালগরিদম চালানোর জন্য পুনরাবৃত্তি করা হয়েছিল।
