র্যানসমওয়্যার অপারেটররা বৃহৎ স্কেলে ক্ষতিকারক পেলোড হোস্ট এবং বিতরণ করার জন্য বৈধ ভার্চুয়াল অবকাঠামো ব্যবস্থাপনা প্রদানকারী আইএসপিসিস্টেম দ্বারা সরবরাহিত ভার্চুয়াল মেশিন (ভিএম) এর অপব্যবহার করছে।
সাইবারসিকিউরিটি কোম্পানি সোফোসের গবেষকরা সাম্প্রতিক ‘Want2Cry’ র্যানসমওয়্যারের ঘটনা তদন্ত করার সময় এই কৌশলটি পর্যবেক্ষণ করেছেন। তারা দেখতে পেয়েছে যে আক্রমণকারীরা অভিন্ন হোস্টনাম সহ Windows VM ব্যবহার করেছে, ISPystem-এর VMManager দ্বারা উত্পন্ন ডিফল্ট টেমপ্লেটের পরামর্শ দিচ্ছে।
আরও গভীরে খনন করে, গবেষকরা আবিষ্কার করেছেন যে একই হোস্টনামগুলি লকবিট, কিলিন, কন্টি, ব্ল্যাকক্যাট/এএলপিএইচভি এবং উরস্নিফ সহ একাধিক র্যানসমওয়্যার অপারেটরের পরিকাঠামোতে উপস্থিত ছিল, সেইসাথে রেডলাইন এবং লুমার তথ্য-চুরির সাথে যুক্ত বিভিন্ন ম্যালওয়্যার প্রচারাভিযান।
সূত্র: সোফোস
ISPsystem হল একটি বৈধ সফ্টওয়্যার কোম্পানি যা হোস্টিং প্রদানকারীদের জন্য কন্ট্রোল প্যানেল তৈরি করে, যা ভার্চুয়াল সার্ভার, OS রক্ষণাবেক্ষণ ইত্যাদি পরিচালনা করতে ব্যবহৃত হয়। ভিএমম্যানেজার হল কোম্পানির ভার্চুয়ালাইজেশন ম্যানেজমেন্ট প্ল্যাটফর্ম যা গ্রাহকদের জন্য উইন্ডোজ বা লিনাক্স ভিএম স্পিন আপ করতে ব্যবহৃত হয়।
সোফোস খুঁজে পেয়েছেন যে VMmanager-এর ডিফল্ট উইন্ডোজ টেমপ্লেটগুলি প্রতিবার স্থাপন করার সময় একই হোস্টনাম এবং সিস্টেম শনাক্তকারী পুনরায় ব্যবহার করে।
বুলেটপ্রুফ হোস্টিং প্রদানকারীরা যারা জেনেশুনে সাইবার অপরাধমূলক ক্রিয়াকলাপকে সমর্থন করে এবং টেকডাউন অনুরোধ উপেক্ষা করে তারা এই ডিজাইনের দুর্বলতাকে কাজে লাগায়। তারা ক্ষতিকারক অভিনেতাদের VMmanager এর মাধ্যমে একটি VM স্পিন করার অনুমতি দেয়, যা কমান্ড-এন্ড-কন্ট্রোল (C2) এবং পেলোড-ডেলিভারি অবকাঠামোর জন্য ব্যবহৃত হয়।
এটি মূলত দূষিত সিস্টেমটিকে হাজার হাজার নিরীহ সিস্টেমের মধ্যে লুকিয়ে রাখে, অ্যাট্রিবিউশনকে জটিল করে তোলে এবং দ্রুত অপসারণকে অসম্ভব করে তোলে।
স্টার্ক ইন্ডাস্ট্রিজ সলিউশনস লিমিটেড, জোমরো বিভি, ফার্স্ট সার্ভার লিমিটেড, পার্টনার হোস্টিং লিমিটেড, এবং জেএসসি আইওটি সহ বেশিরভাগ ক্ষতিকারক ভিএমগুলিকে একটি ছোট গ্রুপ প্রদানকারীর দ্বারা হোস্ট করা হয়েছিল যাদের খ্যাতি বা সীমাবদ্ধতা রয়েছে।
Sophos এছাড়াও MasterRDP নামক ভৌত অবকাঠামোর প্রত্যক্ষ নিয়ন্ত্রণের সাথে একটি প্রদানকারীকে আবিষ্কার করেছে, যেটি ফাঁকির জন্য VMManager ব্যবহার করে এবং VPS এবং RDP পরিষেবা প্রদান করে যা আইনি অনুরোধ মেনে চলে না।
সোফোসের মতে, সবচেয়ে প্রচলিত ISPSystem হটনামগুলির মধ্যে চারটি “ইন্টারনেট-মুখী ISPSystem ভার্চুয়াল মেশিনের মোট সংখ্যার 95% এর বেশি:”
- WIN-LIVFRVQFMKO
- WIN-LIVFRVQFMKO
- WIN-344VU98D3RU
- WIN-J9D866ESIJ2
এই সবই গ্রাহকের পরিচয় বা সাইবার অপরাধমূলক কার্যকলাপের সাথে যুক্ত টেলিমেট্রি ডেটাতে উপস্থিত ছিল।
গবেষকরা উল্লেখ করেছেন যে যদিও আইএসপিসিস্টেম ভিএমম্যানেজার ভার্চুয়ালাইজেশন পরিচালনার জন্য একটি বৈধ প্ল্যাটফর্ম, এটি সাইবার অপরাধীদের কাছেও আকর্ষণীয় কারণ “এর কম খরচ, প্রবেশে কম বাধা এবং টার্নকি স্থাপনের ক্ষমতা।”
ব্লিপিং কম্পিউটার আইএসপিসিস্টেমের সাথে যোগাযোগ করেছে যে তারা VM টেমপ্লেটের বড় আকারের অপব্যবহারের বিষয়ে সচেতন কিনা এবং সমস্যাটি সমাধানের জন্য তাদের পরিকল্পনার বিষয়ে সচেতন কিনা, কিন্তু প্রকাশনার সময় দ্বারা কোন বিবৃতি পাওয়া যায়নি।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
