জুন মাসে, রাশিয়ান র্যানসমওয়্যার গ্রুপ কিউবা মার্কিন সমালোচনামূলক অবকাঠামো পরিষেবা প্রদানকারী একটি সংস্থায় আক্রমণ করেছিল। গ্রুপের একাধিক CVE, অফ-দ্য-শেল্ফ টুলস, অনন্য ম্যালওয়্যার প্রোগ্রাম এবং ফাঁকি দেওয়ার পদ্ধতি ব্যবহার করা সত্ত্বেও সাইবার আক্রমণ ব্যর্থ হয়েছে।

কিউবা হল একটি আর্থিকভাবে উদ্দেশ্যপ্রণোদিত হুমকি অভিনেতা যা মূলত মার্কিন সংস্থাগুলিকে লক্ষ্য করে বড় অর্থের র্যানসমওয়্যার আক্রমণের জন্য পরিচিত৷ ভিতরে ব্ল্যাকবেরি দ্বারা আবিষ্কৃত তার সর্বশেষ পরিচিত প্রচারাভিযান, এটি একটি আমেরিকান সমালোচনামূলক অবকাঠামো প্রদানকারীর পাশাপাশি ল্যাটিন আমেরিকার একটি সিস্টেম ইন্টিগ্রেটরকে লক্ষ্য করে।

প্রক্রিয়ায়, গ্যাং দুটি দুর্বলতাকে কাজে লাগিয়েছে (CVE-2020-1472 "জিরোলোগন" এবং জন্য CVE-2023-27532), এর দুটি স্বাক্ষর ম্যালওয়্যার (BUGHATCH এবং BURNTCIGAR) এবং দুটি অফ-দ্য-শেল্ফ সফ্টওয়্যার প্রোগ্রাম (Metasploit এবং Cobalt) স্থাপন করেছে, পাশাপাশি অনুপ্রবেশ এবং ফাঁকি দেওয়ার জন্য নিবেদিত আরও অনেক প্রোগ্রাম এবং কৌশল রয়েছে৷

কিউবা কীভাবে র‍্যানসমওয়্যার আক্রমণ করে

প্রথম লক্ষণ যে কিছু ভুল ছিল মে মাসে, যখন রিমোট ডেস্কটপ প্রোটোকল (RDP) ব্যবহার করে লক্ষ্যের নেটওয়ার্কে একটি প্রশাসক-স্তরের লগইন করা হয়েছিল। কোনো পূর্বে ব্যর্থ লগইন প্রচেষ্টা বা কোনো ধরনের নৃশংস-জবরদস্তি বা দুর্বলতা শোষণের কোনো প্রমাণ ছিল না। আক্রমণকারী কীভাবে বৈধ প্রমাণপত্র পেয়েছে তা স্পষ্ট নয়, তবে ব্ল্যাকবেরি গবেষকরা উল্লেখ করেছেন যে কিউবা শংসাপত্রগুলি পেতে প্রাথমিক অ্যাক্সেস ব্রোকার ব্যবহার করা হয়েছে অতীতে.

একবার নেটওয়ার্কের ভিতরে, কিউবা তার নিজস্ব কাস্টম ডাউনলোডার BUGHATCH মোতায়েন করেছিল। BUGHATCH একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে একটি সংযোগ স্থাপন করে, তারপর আক্রমণকারী পেলোড ডাউনলোড করে। (এটি ফাইল এবং কমান্ডও চালাতে পারে।) এইবার BUGHATCH-এর ডাউনলোডগুলির মধ্যে একটি, উদাহরণস্বরূপ, মেটাসপ্লয়েট, যা এটি লক্ষ্য পরিবেশে তার পাদদেশকে সিমেন্ট করতে ব্যবহার করেছিল।

সুযোগ-সুবিধা বাড়াতে এবং প্রশাসকের অ্যাক্সেস পেতে, গ্রুপটি শোষণ করেছে Zerologon, একটি 3 বছর বয়সী দুর্বলতা উইন্ডোজ'অন রিমোট প্রোটোকলে। কিন্তু কিউবা শুধুমাত্র একটি দুর্বলতা দিয়েই থেমে থাকেনি - এটি ভিম ব্যাকআপ সফ্টওয়্যারে একটি উচ্চ তীব্রতা 7.5 সিভিএসএস-স্কোরড বাগকেও কাজে লাগিয়েছে, যার লক্ষ্য ছিল তার কনফিগ ফাইলের মধ্যে থাকা শংসাপত্রগুলি সিফন করার লক্ষ্যে।

কিউবার দ্বিতীয় মালিকানাধীন ম্যালওয়্যার - BURNTCIGAR - সম্ভবত এটির সবচেয়ে আকর্ষণীয়, এটি চালানোর জন্য ব্যবহৃত হয় আপনার নিজের দুর্বল ড্রাইভার (BYOVD) আক্রমণ আনুন. এটা শোষণ I/O নিয়ন্ত্রণ কোড কার্নেল-স্তরের প্রক্রিয়াগুলিকে একত্রে শেষ করার জন্য ড্রাইভারদের সাথে যোগাযোগের জন্য ব্যবহৃত হয়। এই ক্ষেত্রে, BURNTCIGAR অ্যান্টি-ম্যালওয়্যার এবং এন্ডপয়েন্ট পণ্যগুলির সাথে যুক্ত 200টিরও বেশি প্রক্রিয়াগুলিকে বাদ দিয়েছে।

অ্যান্টি-ম্যালওয়্যার এবং এন্ডপয়েন্ট সুরক্ষা শূন্য করার বাইরে, কিউবা নেটওয়ার্কের ভিতরে দুই মাসের মধ্যে ধীরে ধীরে এবং ইচ্ছাকৃতভাবে চলার মাধ্যমে তার ট্র্যাকগুলিকে কভার করেছে।

"এটি মনে হয় অপসেকের একটি অংশ ছিল যাতে শিকারের নেটওয়ার্কের ভিতরে প্রতিটি ক্রিয়াকলাপের মধ্যে বিলম্ব করে সন্দেহ না করা," ব্যাখ্যা করে দিমিত্রি বেস্টুজেভ, sব্ল্যাকবেরির সিটিআই-এর সিনিয়র ডিরেক্টর. “এটা এমন নয় যে তারা মিনিট থেকে মিনিট, ঘন্টা থেকে ঘন্টা কাজ করছিল। এটি কিছু করছে এবং তারপরে কেবল এক সপ্তাহের জন্য অপেক্ষা করছে এবং তারপরে আবার কিছু করছে।"

কিউবা কে?

2019 সালে আবিষ্কারের পর থেকে, কিউবা বিশ্বের সবচেয়ে লাভজনক র‍্যানসমওয়্যার পোশাকগুলির মধ্যে একটি। CISA থেকে তথ্য অনুযায়ী, 2022 সালের আগস্ট পর্যন্ত গোষ্ঠীটি 101টি সত্তার সাথে আপস করেছে – 65টি মার্কিন যুক্তরাষ্ট্রে এবং 36টি অন্যত্র, মোট $145 মিলিয়ন মুক্তিপণ প্রদানের দাবি করেছে এবং প্রায় $60 মিলিয়ন পেয়েছে।

গোষ্ঠীটি তার কোড এবং এর লিক সাইটে কিউবান বিপ্লবের রেফারেন্স এবং আইকনোগ্রাফি ব্যবহার করে, তবে যথেষ্ট প্রমাণ দেখায় যে এর সদস্যরা প্রকৃতপক্ষে রাশিয়ান বংশোদ্ভূত। পূর্ব গবেষণা প্রকাশিত হয়েছে একটি মুক্তিপণ নোটে একটি অনুবাদের ভুল যা রাশিয়ান ভাষার উত্স নির্দেশ করে, সেইসাথে গ্রুপের ওয়েবসাইটে একটি 404 ত্রুটি যা রাশিয়ান থেকে অনুবাদ করা হয়েছে, পড়ে, “ওহ, এটি 404! blablabla 404 blablabla।"

ব্ল্যাকবেরির তদন্তে দুর্বল রাশিয়ান অনুবাদের আরও ইঙ্গিত উন্মোচন করা হয়েছে, সেইসাথে রাশিয়ান ভাষায় বা একটি রাশিয়ান কীবোর্ডের সাথে অপারেটিং হোস্ট কম্পিউটারে ম্যালওয়্যার নিষ্ক্রিয় করার একটি বৈশিষ্ট্য।

রাশিয়ান কিউবার বিরুদ্ধে রক্ষা করার জন্য, বেস্টুজেভ সুপারিশ করেন যে সংস্থাগুলি সনাক্তকরণ প্রযুক্তি, প্রম্পট এবং সম্ভবত স্বয়ংক্রিয় প্যাচিং এবং উন্নত হুমকি বুদ্ধিতে বিনিয়োগের উপর জোর দেয়।

এবং যদি সেগুলি সবই ব্যর্থ হয়, তাহলে দ্রুত এবং সিদ্ধান্তমূলক পদক্ষেপ নিতে হবে কারণ "যদি বিলম্ব হয় - সপ্তাহান্তে বা সম্পদের অভাবের কারণে - এটি বিশাল ক্ষতির সম্মুখীন হতে পারে," তিনি সতর্ক করেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• চার্টপ্রাইম। ChartPrime এর সাথে আপনার ট্রেডিং গেমটি উন্নত করুন। এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/edge/cuba-ransomware-group-uses-every-trick-in-the-book