ইউএস হেলথ কেয়ার সংস্থাগুলি মাউই র্যানসমওয়্যার দ্বারা লক্ষ্যবস্তু

মার্কিন যুক্তরাষ্ট্রের ফেডারেল কর্তৃপক্ষের মতে, বেশ কয়েকটি ফেডারেল সংস্থা স্বাস্থ্যসেবা সংস্থাগুলিকে সতর্ক করছে যে তারা উত্তর কোরিয়ার রাষ্ট্র-স্পন্সরকৃত অভিনেতাদের দ্বারা আক্রমণের হুমকির মধ্যে রয়েছে যা একটি অনন্য র্যানসমওয়্যার নিয়োগ করে যা অস্ত্রোপচারের নির্ভুলতার সাথে ফাইলগুলিকে লক্ষ্য করে।

উত্তর কোরিয়ার হুমকি অভিনেতারা কমপক্ষে মে 2021 সাল থেকে স্বাস্থ্যসেবা এবং জনস্বাস্থ্য খাতের সংস্থাগুলিকে লক্ষ্য করার জন্য মাউই র্যানসমওয়্যার ব্যবহার করছেন, অনুসারে একটি যৌথ পরামর্শ ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন (এফবিআই), সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং ডিপার্টমেন্ট অফ ট্রেজারি (ট্রেজারি) দ্বারা বুধবার জারি করা হয়েছে।

সংস্থাগুলিকে সমঝোতার সূচকগুলির সন্ধানে থাকা উচিত এবং এই জাতীয় আক্রমণগুলির বিরুদ্ধে প্রশমন করা উচিত, উভয়ই ফেডারেল উপদেষ্টার অন্তর্ভুক্ত।

অধিকন্তু, যদি সংস্থাগুলি নিজেদেরকে আক্রমণের শিকার খুঁজে পায়, তবে সংস্থাগুলি সুপারিশ করে যে তারা কোনও অনুরোধকৃত মুক্তিপণ প্রদান করা থেকে বিরত থাকে, "যেহেতু এটি করার ফলে ফাইল এবং রেকর্ড পুনরুদ্ধারের গ্যারান্টি নেই এবং নিষেধাজ্ঞার ঝুঁকি হতে পারে," তারা পরামর্শে লিখেছিল।

অনন্য Ransomware

মাউই-যা অন্তত এপ্রিল 2021 সাল থেকে সক্রিয় রয়েছে, অনুযায়ী একটি প্রতিবেদন সাইবারসিকিউরিটি ফার্ম স্টেরওয়েল-এর র‍্যানসমওয়্যারে-এর কিছু অনন্য বৈশিষ্ট্য রয়েছে যা এটিকে অন্যান্য র‍্যানসমওয়্যার-এ-সার্ভিস (RaaS) হুমকি থেকে আলাদা করে।

স্টেয়ারওয়েলের প্রধান বিপরীত প্রকৌশলী সিলাস কাটলার রিপোর্টে লিখেছেন, "মাউই আমাদের কাছে দাঁড়িয়েছে বেশ কয়েকটি মূল বৈশিষ্ট্যের অভাবের কারণে যা আমরা সাধারণত RaaS প্রদানকারীদের থেকে টুলিংয়ের সাথে দেখি।"

এর মধ্যে রয়েছে পুনরুদ্ধারের নির্দেশনা বা আক্রমণকারীদের কাছে এনক্রিপশন কী প্রেরণের স্বয়ংক্রিয় উপায় সরবরাহ করার জন্য মুক্তিপণ নোটের অভাব, তিনি লিখেছেন।

পূর্বের বৈশিষ্ট্যটি মাউই আক্রমণে একটি বিশেষভাবে অশুভ গুণ যোগ করে, একজন নিরাপত্তা পেশাদার পর্যবেক্ষণ করেছেন।

"সাইবার অপরাধীরা দ্রুত এবং কার্যকরভাবে অর্থ পেতে চায়, এবং শিকারের জন্য সামান্য তথ্যের সাথে আক্রমণটি ক্রমবর্ধমানভাবে দূষিত প্রকৃতির হয়," জেমস ম্যাককুইগান, নিরাপত্তা সংস্থার নিরাপত্তা সচেতনতা অ্যাডভোকেট পর্যবেক্ষণ করেছেন। নলবি 4, থ্রেটপোস্টে একটি ই-মেইলে।

সার্জিকাল যথার্থতা

মাউয়ের আরেকটি বৈশিষ্ট্য যা অন্য র‍্যানসমওয়্যার থেকে বিচ্ছিন্ন হয় তা হল এটি একটি হুমকি অভিনেতার দ্বারা ম্যানুয়াল সম্পাদনের জন্য ডিজাইন করা হয়েছে বলে মনে হচ্ছে, এটির অপারেটরদের "এটি কার্যকর করার সময় কোন ফাইলগুলিকে এনক্রিপ্ট করতে হবে তা নির্দিষ্ট করতে এবং তারপর ফলাফল রানটাইম আর্টিফ্যাক্টগুলিকে উত্তোলন করার অনুমতি দেয়," কাটলার লিখেছেন।

এই ম্যানুয়াল এক্সিকিউশন একটি প্রবণতা যা উন্নত ম্যালওয়্যার অপারেটরদের মধ্যে ক্রমবর্ধমান হচ্ছে, কারণ এটি আক্রমণকারীদের শুধুমাত্র একটি নেটওয়ার্কের সবচেয়ে গুরুত্বপূর্ণ সম্পদকে লক্ষ্য করতে দেয়, একজন নিরাপত্তা পেশাদার উল্লেখ করেছেন।

"সত্যিই সাংগঠনিক পঙ্গু র‍্যানসমওয়্যার আক্রমণের জন্য, হুমকি অভিনেতাদের ম্যানুয়ালি গুরুত্বপূর্ণ সম্পদ এবং দুর্বল পয়েন্টগুলি সনাক্ত করতে হবে যাতে সত্যিকার অর্থে একজন শিকারকে নামিয়ে আনা যায়," জন ব্যাম্বেনেক, প্রধান হুমকি শিকারী পর্যবেক্ষণ করেছেন নেটেনরিচ, একটি নিরাপত্তা এবং অপারেশন বিশ্লেষণ SaaS ফার্ম, Threatpost-এ একটি ইমেল। "একটি সম্পূর্ণ টেকডাউন সক্ষম করতে স্বয়ংক্রিয় সরঞ্জামগুলি প্রতিটি সংস্থার সমস্ত অনন্য দিকগুলিকে সনাক্ত করতে পারে না।"

এনক্রিপ্ট করার জন্য নির্দিষ্ট ফাইলগুলিকে একক করা আক্রমণকারীদের আক্রমণের উপর আরও নিয়ন্ত্রণ দেয় এবং সেইসঙ্গে একজন শিকারের পরে পরিষ্কার করার জন্য এটিকে কিছুটা কম করে দেয়, তথ্য সুরক্ষা পরামর্শক সংস্থার প্রতিপক্ষ ইজিনিয়ারিংয়ের পরিচালক টিম ম্যাকগাফিন উল্লেখ করেছেন লারেস কনসাল্টিং.

"নির্দিষ্ট ফাইলগুলিকে টার্গেট করার মাধ্যমে, আক্রমণকারীরা 'স্প্রে-এন্ড-প্রে' র্যানসমওয়্যারের তুলনায় কোনটি সংবেদনশীল এবং কোনটি আরও কৌশলী ফ্যাশনে উত্তোলন করতে হবে তা বেছে নিতে পারে," তিনি বলেছিলেন। "এটি শুধুমাত্র সংবেদনশীল ফাইলগুলির টার্গেটিং এবং পুনরুদ্ধারের অনুমতি দিয়ে এবং [উদাহরণস্বরূপ] অপারেটিং সিস্টেম ফাইলগুলিও এনক্রিপ্ট করা থাকলে পুরো সার্ভারটি পুনর্নির্মাণের অনুমতি দিয়ে র্যানসমওয়্যার গ্রুপ থেকে 'সৎ বিশ্বাস' দেখাতে পারে।"

ফায়ার অধীনে স্বাস্থ্যসেবা

স্বাস্থ্যসেবা শিল্প হয়েছে বর্ধিত আক্রমণের লক্ষ্য, বিশেষ করে গত আড়াই বছরে COVID-19 মহামারী চলাকালীন. প্রকৃতপক্ষে, অনেক কারণ রয়েছে যে সেক্টরটি হুমকি অভিনেতাদের জন্য একটি আকর্ষণীয় লক্ষ্য হিসাবে অব্যাহত রয়েছে, বিশেষজ্ঞরা বলেছেন।

একটি হল কারণ এটি একটি আর্থিকভাবে লাভজনক শিল্প যা অত্যাধুনিক নিরাপত্তা ছাড়াই পুরানো আইটি সিস্টেমের প্রবণতা রাখে। এটি স্বাস্থ্যসেবা সংস্থাগুলিকে সাইবার অপরাধীদের জন্য কম ঝুলন্ত ফল করে তোলে, একজন নিরাপত্তা পেশাদার উল্লেখ করেছেন।

“স্বাস্থ্যসেবা হল সর্বদা লক্ষ্যবস্তু তাদের মাল্টি-মিলিয়ন ডলার অপারেটিং বাজেট এবং ইউএস ফেডারেল নির্দেশিকাগুলির কারণে যা দ্রুত সিস্টেম আপডেট করা কঠিন করে তোলে,” KnowBe4 এর ম্যাককুইগান পর্যবেক্ষণ করেছেন।

তদুপরি, স্বাস্থ্যসেবা সংস্থাগুলির উপর আক্রমণ জনগণের স্বাস্থ্য এমনকি তাদের জীবনকে ঝুঁকির মধ্যে ফেলতে পারে, যা সেক্টরের সংস্থাগুলিকে অবিলম্বে অপরাধীদের মুক্তিপণ দেওয়ার সম্ভাবনা বাড়িয়ে তুলতে পারে, বিশেষজ্ঞরা পর্যবেক্ষণ করেছেন।

সাইবারসিকিউরিটি কোম্পানির সলিউশন আর্কিটেকচারের ভাইস প্রেসিডেন্ট ক্রিস ক্লেমেন্টস উল্লেখ করেছেন, "যত তাড়াতাড়ি সম্ভব অপারেশন পুনরুদ্ধার করার প্রয়োজনীয়তা স্বাস্থ্যসেবা সংস্থাগুলিকে আরও সহজে এবং দ্রুততার সাথে র্যানসমওয়্যার থেকে উদ্ভূত যে কোনও চাঁদাবাজির দাবি পরিশোধ করতে চালিত করতে পারে" সার্বেরাস সেন্টিনেল, থ্রেটপোস্টে একটি ইমেলে।

যেহেতু সাইবার অপরাধীরা এটি জানে, এফবিআই, সিআইএসএ এবং ট্রেজারি বলেছে যে সেক্টরটি উত্তর কোরিয়ার রাষ্ট্র-স্পন্সরকৃত অভিনেতাদের কাছ থেকে আক্রমণের আশা করতে পারে।

ক্লেমেন্টস পর্যবেক্ষণ করেছেন যে স্বাস্থ্যসেবা তথ্য তার সংবেদনশীল এবং ব্যক্তিগত প্রকৃতির কারণে হুমকি অভিনেতাদের জন্য অত্যন্ত মূল্যবান, সাইবার অপরাধমূলক মার্কেটপ্লেসগুলিতে পুনরায় বিক্রি করা সহজ করে এবং সেইসাথে "অত্যন্ত মানানসই সেকেন্ডারি সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ প্রচারাভিযান" নির্মাণের জন্য দরকারী।

আক্রমণের ক্রম

স্টেরওয়েল রিপোর্টের উদ্ধৃতি দিয়ে, ফেডারেল এজেন্সিগুলি কীভাবে মাউই র্যানসমওয়্যার দ্বারা আক্রমণের একটি ব্রেকডাউন প্রদান করে—“maui.exe” নামে একটি এনক্রিপশন বাইনারি হিসাবে ইনস্টল করা হয়েছে–একটি সংস্থার সিস্টেমে নির্দিষ্ট ফাইলগুলি এনক্রিপ্ট করে৷

একটি কমান্ড-লাইন ইন্টারফেস ব্যবহার করে, অ্যাডভান্সড এনক্রিপশন স্ট্যান্ডার্ড (AES), RSA এবং XOR এনক্রিপশনের সংমিশ্রণ ব্যবহার করে কোন ফাইলগুলিকে এনক্রিপ্ট করতে হবে তা শনাক্ত করতে হুমকি অভিনেতারা ransomware-এর সাথে যোগাযোগ করে।

প্রথম Maui AES 128-বিট এনক্রিপশনের সাথে লক্ষ্য ফাইলগুলিকে এনক্রিপ্ট করে, প্রতিটি ফাইলকে একটি অনন্য AES কী বরাদ্দ করে। প্রতিটি ফাইলে থাকা একটি কাস্টম শিরোনাম যা ফাইলের মূল পথ অন্তর্ভুক্ত করে মাউইকে পূর্বে এনক্রিপ্ট করা ফাইলগুলি সনাক্ত করতে দেয়৷ হেডারে AES কী-এর এনক্রিপ্ট করা কপিও রয়েছে, গবেষকরা বলেছেন।

Maui RSA এনক্রিপশন সহ প্রতিটি AES কী এনক্রিপ্ট করে এবং RSA পাবলিক (maui.key) এবং ব্যক্তিগত (maui.evd) কীগুলিকে একই ডিরেক্টরিতে লোড করে। তারপরে এটি হার্ড ড্রাইভের তথ্য থেকে তৈরি করা XOR কী সহ XOR এনক্রিপশন ব্যবহার করে RSA পাবলিক কী (maui.key) এনকোড করে।

এনক্রিপশনের সময়, মাউই প্রতিটি ফাইলের জন্য একটি অস্থায়ী ফাইল তৈরি করে যা এটি GetTempFileNameW() ব্যবহার করে এনক্রিপ্ট করে এবং এনক্রিপশন থেকে আউটপুট স্টেজ করার জন্য এই ফাইলটি ব্যবহার করে, গবেষকরা বলেছেন। ফাইল এনক্রিপ্ট করার পরে, Maui maui.log তৈরি করে, যা Maui এক্সিকিউশন থেকে আউটপুট ধারণ করে এবং সম্ভবত হুমকি অভিনেতাদের দ্বারা বহিষ্কৃত হতে পারে এবং সংশ্লিষ্ট ডিক্রিপশন সরঞ্জাম ব্যবহার করে ডিক্রিপ্ট করা হয়।

সোমবার 11 জুলাই এই লাইভ ইভেন্টের জন্য এখনই নিবন্ধন করুন৷: উদ্ভাবন সম্পর্কে একটি লাইভ কথোপকথনে Threatpost এবং Intel Security-এর Tom Garrison-এর সাথে যোগ দিন যা স্টেকহোল্ডারদের গতিশীল হুমকির ল্যান্ডস্কেপ থেকে এগিয়ে থাকতে সক্ষম করে এবং Intel Security Ponemon Institue-এর সাথে অংশীদারিত্বে তাদের সাম্প্রতিক গবেষণা থেকে যা শিখেছে। ইভেন্ট অংশগ্রহণকারীদের উত্সাহিত করা হয় প্রতিবেদনের পূর্বরূপ দেখুন এবং লাইভ আলোচনার সময় প্রশ্ন জিজ্ঞাসা করুন। আরও জানুন এবং এখানে নিবন্ধ করুন.