VECT 2.0 র‍্যানসমওয়্যার

VECT 2.0 নামে পরিচিত সাইবার অপরাধমূলক কার্যকলাপটি নিজেকে র‍্যানসমওয়্যার হিসেবে উপস্থাপন করে, কিন্তু প্রযুক্তিগত বিশ্লেষণে এর আচরণ ডেটা ওয়াইপারের অনেক বেশি কাছাকাছি দেখা যায়। Windows, Linux, এবং ESXi সংস্করণ জুড়ে এর এনক্রিপশন প্রয়োগে একটি গুরুতর ত্রুটি থাকায়, এমনকি এই আক্রমণের পেছনের অপারেটরদের পক্ষেও ফাইল পুনরুদ্ধার করা অসম্ভব হয়ে পড়ে।

১৩১ কেবি-র চেয়ে বড় ফাইলগুলোর জন্য, যেগুলোর মধ্যে বেশিরভাগ এন্টারপ্রাইজ-গুরুত্বপূর্ণ ডেটা অন্তর্ভুক্ত, ম্যালওয়্যারটি পুনরুদ্ধারযোগ্য এনক্রিপশন প্রদান করে না। পরিবর্তে, এটি পুনরুদ্ধারের জন্য প্রয়োজনীয় ডেটা স্থায়ীভাবে ধ্বংস করে দেয়। ফলে, মুক্তিপণ প্রদানের মাধ্যমে ডেটা পুনরুদ্ধারের কোনো বাস্তবসম্মত পথ থাকে না।

যেকোনো VECT 2.0 ঘটনার ক্ষেত্রে, আলোচনাকে প্রতিকার কৌশল হিসেবে বিবেচনা করা উচিত নয়। সরবরাহ করার মতো কোনো কার্যকরী ডিক্রিপ্টর থাকে না, কারণ এটি তৈরির জন্য প্রয়োজনীয় তথ্য কার্য সম্পাদনের সময় মুছে ফেলা হয়। প্রতিরক্ষামূলক অগ্রাধিকারগুলো অফলাইন ব্যাকআপ, যাচাইকৃত পুনরুদ্ধার পরিকল্পনা, দ্রুত নিয়ন্ত্রণ এবং ব্যবসায়িক স্থিতিস্থাপকতার উপর কেন্দ্র করে হওয়া উচিত।

অপরাধী চক্রের সাথে অংশীদারিত্বের মাধ্যমে একটি ক্রমবর্ধমান RaaS কার্যক্রম

VECT মূলত ডিসেম্বর ২০২৫-এ একটি র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস (RaaS) প্রোগ্রাম হিসেবে চালু হয়েছিল এবং তারপর থেকে VECT 2.0 নামে নতুন নামকরণ করা হয়েছে। এর ডার্ক ওয়েব পোর্টালে 'এক্সফিলট্রেশন / এনক্রিপশন / এক্সটরশন' মডেলের বিজ্ঞাপন দেওয়া হয়, যা একটি ত্রি-স্তরীয় চাঁদাবাজির পদ্ধতির ইঙ্গিত দেয়।

জানা গেছে, নতুন অ্যাফিলিয়েটদের কাছ থেকে ২৫০ মোনেরো (XMR) প্রবেশ ফি নেওয়া হয়। তবে, কমনওয়েলথ অফ ইন্ডিপেন্ডেন্ট স্টেটস (CIS) দেশগুলোর আবেদনকারীরা এই ফি থেকে অব্যাহতি পান, যা থেকে বোঝা যায় যে ওই অঞ্চল থেকে নির্দিষ্টভাবে কর্মী সংগ্রহ করা হচ্ছে।

দলটি ব্রীচফোরামস এবং টিমপিসিপি হ্যাকিং গোষ্ঠীর সাথেও অংশীদারিত্ব গঠন করেছে। এই সহযোগিতার উদ্দেশ্য হলো র‍্যানসমওয়্যার অভিযান সহজ করা, নতুন সদস্যদের জন্য বাধা কমানো এবং আরও আক্রমণের জন্য পূর্বে চুরি করা ডেটাকে অস্ত্র হিসেবে ব্যবহার করা।

সাপ্লাই-চেইন ক্রেডেনশিয়াল চুরি, সংগঠিত সহযোগী কার্যক্রম এবং ফোরাম-ভিত্তিক অপরাধী সংঘবদ্ধতার সংমিশ্রণ একটি ক্রমবর্ধমান শিল্পায়িত র‍্যানসমওয়্যার ইকোসিস্টেমকে প্রতিফলিত করে।

সাহসী দাবি সত্ত্বেও হতাহতের সংখ্যা কমই রয়েছে

আক্রমণাত্মক প্রচার সত্ত্বেও, VECT 2.0-এর ফাঁস হওয়া তথ্যে সাইটে মাত্র দুজন ভুক্তভোগীর নাম তালিকাভুক্ত করা হয়েছে বলে জানা গেছে, যাদের উভয়েই টিমপিসিপি-সম্পর্কিত সাপ্লাই-চেইন আক্রমণের মাধ্যমে আক্রান্ত হয়েছেন বলে অভিযোগ করা হয়েছে।

দলটি প্রাথমিকভাবে ChaCha20-Poly1305 AEAD নামক একটি শক্তিশালী প্রমাণীকৃত এনক্রিপশন পদ্ধতি ব্যবহারের দাবি করেছিল। তবে, প্রযুক্তিগত পর্যালোচনায় দেখা যায় যে তারা একটি দুর্বল, অপ্রমাণীকৃত সাইফার ব্যবহার করেছে, যেটিতে ডেটার অখণ্ডতা সুরক্ষার অভাব রয়েছে। এর ফলে তাদের সক্ষমতা ও বিশ্বাসযোগ্যতা উভয় নিয়েই গুরুতর সন্দেহ তৈরি হয়েছে।

এনক্রিপশন ব্যর্থতা যা ডেটা ধ্বংস করে

ম্যালওয়্যারটির সবচেয়ে গুরুতর ত্রুটি হলো ১৩১,০৭২ বাইটের চেয়ে বড় ফাইলগুলো প্রক্রিয়াকরণের পদ্ধতি। পুনরুদ্ধারযোগ্য ডেটা সুরক্ষিতভাবে এনক্রিপ্ট করার পরিবর্তে, এটি প্রতিটি বড় ফাইলকে চারটি খণ্ডে বিভক্ত করে এবং প্রতিটি অংশকে আলাদাভাবে এলোমেলোভাবে তৈরি ১২-বাইটের ননস (nonce) ব্যবহার করে এনক্রিপ্ট করে।

এনক্রিপ্ট করা ফাইলের সাথে শুধুমাত্র শেষ ননসটি সংরক্ষণ করা হয়। ফাইলের বেশিরভাগ অংশ ডিক্রিপ্ট করার জন্য প্রয়োজনীয় প্রথম তিনটি ননস তৈরি করা হয়, একবার ব্যবহার করা হয় এবং স্থায়ীভাবে বাতিল করে দেওয়া হয়। এগুলো স্থানীয়ভাবে সংরক্ষণ করা হয় না, রেজিস্ট্রি-তে লেখা হয় না, বা অপারেটরের কাছে পাঠানো হয় না।

যেহেতু ChaCha20-IETF পদ্ধতিতে ডিক্রিপশনের জন্য সঠিক ৩২-বাইট কী এবং তার সাথে মিলে যাওয়া ননস উভয়েরই প্রয়োজন হয়, তাই প্রতিটি ক্ষতিগ্রস্ত ফাইলের প্রথম তিন-চতুর্থাংশ পুনরুদ্ধারযোগ্য থাকে না। এর অর্থ হলো, VECT 2.0 কার্যক্ষেত্রে র‍্যানসমওয়্যার মেসেজিংয়ের আড়ালে লুকিয়ে থাকা একটি ধ্বংসাত্মক ওয়াইপার হিসেবে কাজ করে।

উইন্ডোজ সংস্করণ: উন্নত বৈশিষ্ট্য, দুর্বল কার্যকারিতা

উইন্ডোজ সংস্করণটি সবচেয়ে বেশি বৈশিষ্ট্য-সমৃদ্ধ এবং এর লক্ষ্য হলো:

• স্থানীয় ড্রাইভ, অপসারণযোগ্য মিডিয়া, এবং অ্যাক্সেসযোগ্য নেটওয়ার্ক স্টোরেজ
• অ্যান্টি-অ্যানালাইসিস চেকের মাধ্যমে ৪৪টি নিরাপত্তা ও ডিবাগিং টুল
• সেফ মোড স্থায়িত্ব প্রক্রিয়া
• পার্শ্বীয় স্থানান্তরের জন্য রিমোট এক্সিকিউশন স্ক্রিপ্ট টেমপ্লেট

--force-safemode সহ চালু করা হলে, ম্যালওয়্যারটি পরবর্তী রিবুটকে উইন্ডোজ সেফ মোডে কনফিগার করে এবং এর এক্সিকিউটেবল পাথটি উইন্ডোজ রেজিস্ট্রি-তে যোগ করে, যাতে এটি রিস্টার্টের পর একটি হ্রাসকৃত-নিরাপত্তার পরিবেশে স্বয়ংক্রিয়ভাবে চালু হয়।

মজার ব্যাপার হলো, যদিও উইন্ডোজ সংস্করণটিতে পরিবেশ শনাক্তকরণ এবং এড়ানোর কৌশল রয়েছে, জানা গেছে যে সেই রুটিনগুলো কখনোই কল করা হয় না। এর ফলে প্রতিরোধকারীরা গোপন প্রতিক্রিয়া সক্রিয় না করেই নমুনা বিশ্লেষণ করতে সক্ষম হতে পারে।

লিনাক্স এবং ESXi ভ্যারিয়েন্টগুলো হুমকির পরিধি প্রসারিত করে

ESXi সংস্করণটি এনক্রিপশন শুরু করার আগে জিওফেন্সিং এবং অ্যান্টি-ডিবাগিং চেক সম্পন্ন করে। এটি SSH-এর মাধ্যমে ল্যাটারাল মুভমেন্টেরও চেষ্টা করে। লিনাক্স সংস্করণটির কোডবেস ESXi স্যাম্পলের মতোই, কিন্তু এতে তুলনামূলকভাবে কম সক্ষমতা রয়েছে।

এই ক্রস-প্ল্যাটফর্ম সমর্থন VECT 2.0-কে এন্টারপ্রাইজ পরিবেশের বিরুদ্ধে ব্যাপক লক্ষ্যবস্তু নির্ধারণের সম্ভাবনা দেয়, বিশেষ করে যেগুলো ভার্চুয়ালাইজেশন এবং মিশ্র অপারেটিং সিস্টেমের উপর নির্ভরশীল।

অস্বাভাবিক সিআইএস জিওফেন্সিং প্রশ্ন তুলেছে

সিস্টেম এনক্রিপ্ট করার আগে, ম্যালওয়্যারটি যাচাই করে দেখে যে এটি কোনো সিআইএস (CIS) দেশে চলছে কি না। যদি তাই হয়, তবে এর কার্যক্রম থেমে যায়। লক্ষণীয় যে, ইউক্রেন এখনও এই বর্জনের তালিকায় অন্তর্ভুক্ত রয়েছে বলে জানা গেছে, যা একটি অস্বাভাবিক আচরণ, কারণ ২০২২ সালের পর অনেক র‍্যানসমওয়্যার গোষ্ঠী সিআইএস অব্যাহতি তালিকা থেকে ইউক্রেনকে সরিয়ে দিয়েছে।

দুটি সম্ভাব্য ব্যাখ্যা প্রস্তাব করা হয়েছে:

• ম্যালওয়্যারটি সম্ভবত পুরোনো ভূ-রাজনৈতিক তথ্যের ওপর প্রশিক্ষিত এআই মডেল ব্যবহার করে আংশিকভাবে তৈরি করা হয়েছে।

• ডেভেলপাররা আঞ্চলিক লজিক আপডেট না করেই একটি পুরোনো র‍্যানসমওয়্যার কোডবেস পুনরায় ব্যবহার করে থাকতে পারে।

অনভিজ্ঞ অপারেটরদের লক্ষণ

যদিও VECT 2.0 নিজেকে অ্যাফিলিয়েট নিয়োগ, সাপ্লাই-চেইন অংশীদারিত্ব এবং পেশাদার ব্র্যান্ডিং সহ একটি পরিশীলিত মাল্টি-প্ল্যাটফর্ম হুমকি হিসেবে প্রচার করে, এর প্রযুক্তিগত বাস্তবায়ন ভিন্ন চিত্র তুলে ধরে।

নিরাপত্তা মূল্যায়ন থেকে বোঝা যায় যে, এর পরিচালনাকারীরা অভিজ্ঞ র‍্যানসমওয়্যার ডেভেলপারদের চেয়ে অনভিজ্ঞ হুমকিদাতা হওয়ার সম্ভাবনাই বেশি। ম্যালওয়্যারটির কিছু অংশ যে এআই-নির্মিত কোড দ্বারা তৈরি বা সহায়তাপ্রাপ্ত হয়েছে, সেই সম্ভাবনাও উড়িয়ে দেওয়া যায় না।

নির্বাহী নিরাপত্তা মূল্যায়ন

VECT 2.0 দেখিয়ে দেয় যে, দেখতে বিপজ্জনক মনে হলেও র‍্যানসমওয়্যার প্রযুক্তিগতভাবে ত্রুটিপূর্ণ হতে পারে। এর পরিকাঠামো, অংশীদারিত্ব এবং ব্র্যান্ডিং একটি গুরুতর অপরাধী চক্রের ভাবমূর্তি তৈরি করে, কিন্তু এনক্রিপশন ডিজাইনের ব্যর্থতা এর চাঁদাবাজির মডেলটিকে পুরোপুরি অকার্যকর করে দেয়।

প্রতিরক্ষাকারীদের জন্য শিক্ষাটি স্পষ্ট: স্থিতিস্থাপকতা, ব্যাকআপ, বিভাজন এবং দ্রুত ঘটনা প্রতিক্রিয়ার উপর মনোযোগ দিন। একটি VECT 2.0 আক্রমণে, অর্থ দিয়ে পুনরুদ্ধার কেনা যায় না, তা কেবল ধ্বংসের পরেই আসে।