সাদা খরগোশ Ransomware
ডিসেম্বরে ফিরে, 2021 এর শেষের ঠিক আগে, একটি মার্কিন ব্যাঙ্কের বিরুদ্ধে আক্রমণে সাইবার ক্রাইম ল্যান্ডস্কেপে একটি নতুন র্যানসমওয়্যার পরিবার আবির্ভূত হয়েছিল। ট্রেন্ড মাইক্রো-এর গবেষকদের দ্বারা আবিষ্কৃত এবং হোয়াইট র্যাবিট র্যানসমওয়্যার হিসাবে চিহ্নিত, হুমকিটি এই ধরণের আধুনিক ম্যালওয়্যারের একাধিক সম্পূর্ণ-বাস্তবায়ন বৈশিষ্ট্য প্রদর্শন করে। যদিও হোয়াইট র্যাবিটের এনক্রিপশন রুটিন মোটামুটি জটিল, এটি তার অনুপ্রবেশকারী ক্রিয়াগুলিকে মুখোশ করার উপর একটি বর্ধিত ফোকাস দেখায়। এটি লক্ষ করা উচিত যে নির্দিষ্ট বিবরণ সাদা খরগোশ এবং FIN8 নামে পরিচিত APT গ্রুপের মধ্যে একটি সংযোগ দেখায়।
সুচিপত্র
সাদা খরগোশের বিবরণ
আক্রমণটি বিশ্লেষণ করার পরে, ইনফোসেক বিশেষজ্ঞরা লক্ষণগুলি লক্ষ্য করেছেন যে হোয়াইট র্যাবিটকে কোবাল্ট স্ট্রাইক ব্যবহারের মাধ্যমে লক্ষ্যযুক্ত সিস্টেমে মোতায়েন করা হয়েছিল, একটি বৈধ অনুপ্রবেশ-পরীক্ষার সরঞ্জাম যা এর ব্যাপক বৈশিষ্ট্যগুলির কারণে নিজেকে প্রায়শই দূষিত আক্রমণের একটি অংশ খুঁজে পায়। প্রকৃত হোয়াইট র্যাবিট পেলোড বাইনারি একটি বরং ছোট ফাইল, প্রায় 100KB, যা কোনো লক্ষণীয় স্ট্রিং বা কার্যকলাপ দেখায় না।
এর ধ্বংসাত্মক ক্ষমতা আনলক করতে, সাদা খরগোশের একটি নির্দিষ্ট কমান্ড-লাইন পাসওয়ার্ড প্রয়োজন। পরবর্তীতে, হুমকিটি এর অভ্যন্তরীণ কনফিগারেশন ডিক্রিপ্ট করতে পারে এবং এর এনক্রিপশন রুটিন চালানো শুরু করতে পারে। এই বিশেষ কৌশলটি র্যানসমওয়্যার হুমকির দ্বারা ব্যবহার করা প্রথমবার নয়, এর আগে এগ্রেগর র্যানসমওয়্যার পরিবার তার দূষিত ক্রিয়াগুলি আড়াল করার জন্য এটি ব্যবহার করেছিল।
এনক্রিপশন প্রক্রিয়া এবং চাহিদা
হোয়াইট র্যাবিট বিভিন্ন ধরনের ফাইলকে লক্ষ্য করে এবং প্রতিটি লক করা ফাইলের জন্য অভিন্ন মুক্তিপণ নোট বার্তা সহ একটি পাঠ্য ফাইল তৈরি করে। টেক্সট ফাইলের নাম হল '.scrypt.txt'-এর সাথে যুক্ত সংশ্লিষ্ট ফাইলের নামের সংমিশ্রণ। এটির এনক্রিপশন প্রক্রিয়া যাতে বাধাগ্রস্ত না হয় তা নিশ্চিত করার জন্য, হুমকিটি নির্দিষ্ট প্রসেস এবং পরিষেবাগুলি যেমন অ্যান্টি-ম্যালওয়্যার পণ্যগুলির সাথে সম্পর্কিত, বন্ধ করতে সক্ষম৷ সাদা খরগোশ গুরুত্বপূর্ণ পাথ এবং ডিরেক্টরিগুলিতে ফাইলগুলি এড়িয়ে যাওয়ার মাধ্যমে কোনও সিস্টেম ক্র্যাশ বা জটিল ত্রুটিগুলি এড়াতে চেষ্টা করে। কিছু উদাহরণের মধ্যে রয়েছে \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , এবং আরও অনেক কিছু।
মুক্তিপণের নোটটি দেখায় যে সাদা খরগোশ একটি দ্বিগুণ চাঁদাবাজির পরিকল্পনা চালাচ্ছে। ফাইলগুলি লক করার আগে, হ্যাকাররা দাবি করে যে তারা সফলভাবে গুরুত্বপূর্ণ ব্যক্তিগত তথ্য চুরি করেছে। সাইবার অপরাধীদের সাথে যোগাযোগ স্থাপনের জন্য ভিকটিমদের 4 দিন সময় দেওয়া হয় বা চুরি করা তথ্য জনসাধারণের কাছে প্রকাশ করা হবে বা প্রতিযোগী সংস্থার কাছে বিক্রির জন্য দেওয়া হবে। প্রয়োজনীয় ডিক্রিপশন কীটিও মুছে ফেলা হবে, সমস্ত লক করা ফাইলের পুনরুদ্ধার অসম্ভব।
FIN8 এর সাথে সংযোগ
FIN8 APT গ্রুপ প্রাথমিকভাবে সাইবার গুপ্তচরবৃত্তি, অনুপ্রবেশ, এবং পুনরুদ্ধার অভিযানের সাথে জড়িত। কিছু নির্দিষ্ট বিবরণ রয়েছে যা গ্রুপটিকে হোয়াইট র্যাবিট র্যানসমওয়্যারের হুমকির সাথে লিঙ্ক করে। লোডস্টোনের গবেষকদের দ্বারা বলা হয়েছে, হোয়াইট র্যাবিট আক্রমণের অংশ হিসাবে দেখা দূষিত URL আগে FIN8 গ্রুপের সাথে সম্পর্কিত ছিল। উপরন্তু, তাদের অনুসন্ধানগুলি দেখায় যে হোয়াইট র্যাবিট ব্যাড্যাচের একটি সংস্করণ ব্যবহার করছে, যা FIN8 এর দূষিত সরঞ্জামগুলির অস্ত্রাগারের অংশ হিসাবে বিবেচিত একটি ব্যাকডোর। যদি হোয়াইট র্যাবিট এবং এফআইএন 8 এর মধ্যে সংযোগগুলি দুর্ঘটনাজনিত হয় বা গোষ্ঠীটি প্রকৃতপক্ষে তার ক্রিয়াকলাপগুলিকে প্রসারিত করে এবং র্যানসমওয়্যার দৃশ্যে প্রবেশ করে তা দেখা বাকি।
