HelloKitty Ransomware-এর Linux সংস্করণ VMware ESXi সার্ভারকে লক্ষ্য করে

  • প্রধান
  • খবর
  • HelloKitty Ransomware-এর Linux সংস্করণ VMware ESXi সার্ভারকে লক্ষ্য করে

সিডি প্রজেক্ট রেড-এ অত্যন্ত প্রচারিত আক্রমণের পিছনে র্যানসমওয়্যার গ্যাং একটি লিনাক্স ভেরিয়েন্ট ব্যবহার করে যা সর্বাধিক ক্ষতির জন্য VMware এর ESXi ভার্চুয়াল মেশিন প্ল্যাটফর্মকে লক্ষ্য করে।

ব্যাকআপ এবং রিসোর্স ম্যানেজমেন্ট সহজ করার জন্য এন্টারপ্রাইজ ক্রমবর্ধমান ভার্চুয়াল মেশিনে চলে যাওয়ার সাথে সাথে, র্যানসমওয়্যার গ্যাংগুলি এই সার্ভারগুলিকে লক্ষ্য করে লিনাক্স এনক্রিপশন তৈরি করার জন্য তাদের কৌশল বিকাশ করছে।

VMware ESXi হল অন্যতম জনপ্রিয় এন্টারপ্রাইজ ভার্চুয়াল মেশিন প্ল্যাটফর্ম। গত বছর ধরে, এই প্ল্যাটফর্মকে লক্ষ্য করে লিনাক্স এনক্রিপশন প্রকাশ করে র্যানসমওয়্যার গ্রুপের সংখ্যা বেড়েছে।

যদিও ESXi কঠোরভাবে লিনাক্স নয়, কারণ এটি তার নিজস্ব ক্লায়েন্ট কার্নেল ব্যবহার করে, এটি ELF64 লিনাক্স এক্সিকিউটেবল চালানোর ক্ষমতা সহ অনেক অনুরূপ বৈশিষ্ট্যগুলি ভাগ করে।

HelloKitty ESXi এ স্যুইচ করে

গতকাল নিরাপত্তা গবেষক ড MalwareHunterEquipo HelloKitty ransomware-এর অসংখ্য ELF64 Linux সংস্করণ পাওয়া গেছে যা ESXi সার্ভার এবং ভার্চুয়াল মেশিনে কাজ করছে।

হ্যালোকিটি একটি লিনাক্স এনকোডার ব্যবহার করার জন্য পরিচিত, তবে এটিই প্রথম নমুনা যা গবেষকরা প্রকাশ্যে দেখেছেন।

MalwareHunterTeam Bleeping Computer-এর সাথে ransomware-এর নমুনা শেয়ার করেছে, এবং আপনি স্পষ্টভাবে ESXi-এর উল্লেখ করে স্ট্রিংগুলি এবং ভার্চুয়াল মেশিনগুলিকে বন্ধ করার জন্য ransomware-এর প্রচেষ্টাগুলি দেখতে পাচ্ছেন৷

|_+_|

ডিবাগ বার্তাগুলি থেকে, আমরা দেখতে পাচ্ছি যে ransomware ESXi ব্যবহার করে |_+_| সার্ভারে চলমান ভার্চুয়াল মেশিনগুলিকে তালিকাভুক্ত করার জন্য কমান্ড লাইন প্রশাসন টুল এবং তারপরে সেগুলি বন্ধ করে।

ESXi সার্ভারগুলিকে লক্ষ্য করে র্যানসমওয়্যার গ্রুপগুলি ফাইলগুলিকে এনক্রিপ্ট করার আগে ভার্চুয়াল মেশিনগুলিকে বন্ধ করে দেবে যাতে সেগুলিকে লক করা থেকে রোধ করা যায় এবং ডেটা দুর্নীতি প্রতিরোধ করা যায়।

ভার্চুয়াল মেশিন বন্ধ করার সময়, ransomware প্রথমে 'soft' কমান্ড ব্যবহার করে একটি সঠিক শাটডাউন করার চেষ্টা করবে:

|_+_|

যদি এখনও ভার্চুয়াল মেশিনগুলি চলমান থাকে তবে এটি 'হার্ড' কমান্ড ব্যবহার করে অবিলম্বে ভার্চুয়াল মেশিনগুলি বন্ধ করার চেষ্টা করবে:

|_+_|

অবশেষে, যদি ভার্চুয়াল মেশিনগুলি এখনও চলমান থাকে, ম্যালওয়্যারটি 'ফোর্স' কমান্ড ব্যবহার করে সমস্ত চলমান ভার্চুয়াল মেশিনগুলিকে জোরপূর্বক বন্ধ করে দেবে।

|_+_|

ভার্চুয়াল মেশিনগুলি বন্ধ হয়ে গেলে, র্যানসমওয়্যার নিজেই এনক্রিপ্ট করা শুরু করবে .vmdk (ভার্চুয়াল হার্ড ড্রাইভ), .vmsd (মেটাডেটা এবং স্ন্যাপশট তথ্য), এবং .vmsn (VM এর সক্রিয় অবস্থা ধারণ করে)।

এই পদ্ধতিটি খুবই কার্যকর কারণ এটি একটি র‍্যানসমওয়্যার গ্যাংকে একটি একক কমান্ডের মাধ্যমে অনেক ভার্চুয়াল মেশিন এনক্রিপ্ট করতে দেয়।

গত মাসে, MalwareHunterTeam REvil ransomware এর একটি Linux সংস্করণও খুঁজে পেয়েছে যা ESXi সার্ভারকে লক্ষ্য করে এবং এনক্রিপশন প্রক্রিয়ার অংশ হিসাবে esxcli কমান্ড ব্যবহার করে।

Emsisoft CTO Fabian Wosar সেই সময়ে BleepingComputer কে বলেছিল যে Babuk, RansomExx/Defray, Mespinoza, GoGoogle এবং অধুনা-লুপ্ত ডার্কসাইড সহ অন্যান্য ransomware অপারেশনগুলিও ESXi ভার্চুয়াল মেশিনগুলিকে লক্ষ্য করার জন্য Linux ক্রিপ্টোগ্রাফার তৈরি করেছে৷

'অধিকাংশ র্যানসমওয়্যার গ্রুপ তাদের র্যানসমওয়্যারের একটি লিনাক্স-ভিত্তিক সংস্করণ মোতায়েন করার কারণ হল বিশেষভাবে ESXi কে লক্ষ্য করা,' ওসার বলেছেন।

হ্যালো কিটি একটি বিট

HelloKity নভেম্বর 2020 থেকে চালু হয়েছে, যখন একজন শিকার প্রথম আমাদের ফোরামে ransomware সম্পর্কে তথ্য পোস্ট করেছিল।

তারপর থেকে, অন্যান্য মানব-চালিত র্যানসমওয়্যার অপারেশনগুলির তুলনায় হুমকি অভিনেতারা বিশেষভাবে সক্রিয় ছিল না।

তাদের সবচেয়ে সুপরিচিত আক্রমণ ছিল সিডি প্রজেক্ট রেডের বিরুদ্ধে, যেখানে হুমকি অভিনেতারা ডিভাইসগুলিকে এনক্রিপ্ট করে এবং দাবি করে যে তারা সাইবারপাঙ্ক 2077, উইচার 3, গোয়েন্ট এবং অন্যান্যদের জন্য সোর্স কোড চুরি করেছে।

হুমকি অভিনেতারা পরে দাবি করেছিল যে কেউ সিডি প্রজেক্ট রেড থেকে চুরি করা ফাইলগুলি কিনেছিল।

এই র‍্যানসমওয়্যার বা এর ভেরিয়েন্টগুলি বিভিন্ন নামে ব্যবহার করা হয়েছে যেমন ডেথর্যানসম এবং ফাইভহ্যান্ডস।

আপনি কি মনে করেন?