কিলিন র‍্যানসমওয়্যার গ্রুপ

কিলিন (যাকে এজেন্ডা, গোল্ড ফেদার এবং ওয়াটার গ্যালুরা নামেও চিহ্নিত করা হয়) বর্তমানে সক্রিয় সবচেয়ে কার্যকর র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস (RaaS) অপারেশনগুলির মধ্যে একটিতে পরিণত হয়েছে। ২০২৫ সালের শুরু থেকে এই গ্রুপটি প্রতি মাসে ৪০ জনেরও বেশি লিক-সাইট এন্ট্রি পোস্ট করছে (জানুয়ারী ছিল একমাত্র ব্যতিক্রম), জুন মাসে প্রায় ১০০টি লিক-সাইট এন্ট্রি শীর্ষে পৌঁছেছে এবং ২০২৫ সালের আগস্ট এবং সেপ্টেম্বর মাসে ৮৪ জন লিক-সাইট এন্ট্রি রেকর্ড করেছে। ২০২২ সালের জুলাই থেকে সক্রিয়, কিলিনের গতি এবং কৌশল এটিকে বিশ্বব্যাপী উদ্যোগের জন্য একটি উচ্চ-ঝুঁকিপূর্ণ অভিনেতা করে তোলে।

কারা আঘাত পেয়েছিল - ভূগোল এবং শিল্প

ঘটনার টেলিমেট্রি বিশ্লেষণে দেখা যায় যে কিলিনের শিকাররা উত্তর আমেরিকা এবং পশ্চিম ইউরোপে কেন্দ্রীভূত, যার মধ্যে সবচেয়ে বেশি ক্ষতিগ্রস্ত দেশগুলির মধ্যে রয়েছে মার্কিন যুক্তরাষ্ট্র, কানাডা, যুক্তরাজ্য, ফ্রান্স এবং জার্মানি। এই গোষ্ঠীটি কিছু নির্দিষ্ট ক্ষেত্রের পক্ষে: পর্যবেক্ষণকৃত লক্ষ্যমাত্রার প্রায় ২৩% উৎপাদন, প্রায় ১৮% পেশাদার এবং বৈজ্ঞানিক পরিষেবা এবং প্রায় ১০% পাইকারি বাণিজ্য।

প্রাথমিক প্রবেশাধিকার এবং প্রাথমিক অবস্থান

তদন্তকারীরা বিশ্বাস করেন যে অনেক কিলিন অ্যাফিলিয়েট অনুপ্রবেশ শুরু হয় ডার্ক-ওয়েব রিপোজিটরি থেকে প্রাপ্ত ফাঁস হওয়া প্রশাসনিক শংসাপত্রগুলির মাধ্যমে। শত্রুরা সেই শংসাপত্রগুলি ব্যবহার করে একটি VPN ইন্টারফেসের মাধ্যমে লগ ইন করে এবং তারপর ডোমেন কন্ট্রোলার এবং অন্যান্য আপোস করা এন্ডপয়েন্টগুলিতে RDP সংযোগ সম্পাদন করে। সেখান থেকে, তারা পরিবেশ ম্যাপিং এবং আরও গভীর অনুসন্ধানে প্রবেশ করে।

শংসাপত্র সংগ্রহ এবং সরঞ্জামাদি

কিলিন প্রচারণাগুলি শংসাপত্র সংগ্রহের সরঞ্জাম এবং কৌশলগুলির ব্যাপক ব্যবহার করে। অপারেটর এবং সহযোগীরা ব্রাউজার, সিস্টেম স্টোর এবং অন্যান্য অ্যাপ্লিকেশন থেকে গোপন তথ্য সংগ্রহের জন্য WebBrowserPassView.exe, BypassCredGuard.exe এবং SharpDecryptPwd এর মতো ইউটিলিটিগুলির সাথে Mimikatz চালায়। সংগ্রহ করা শংসাপত্রগুলি ভিজ্যুয়াল বেসিক স্ক্রিপ্ট ব্যবহার করে বহিরাগত SMTP সার্ভারে এক্সফিল্টার করা হয়। মিমিক্যাটজের ব্যবহার পর্যবেক্ষণ করা হয়েছে যার মধ্যে রয়েছে:

• উইন্ডোজ ইভেন্ট লগ সাফ করুন এবং অন্যথায় ট্রেস মুছে ফেলুন;
• SeDebugPrivilege সক্ষম করুন;
• SQLite ডাটাবেস থেকে সংরক্ষিত Chrome পাসওয়ার্ডগুলি বের করুন;
• পূর্ববর্তী লগইন থেকে শংসাপত্র পুনরুদ্ধার করুন; এবং
• RDP, SSH, এবং Citrix-এর জন্য ফসলের কনফিগারেশন এবং শংসাপত্র।

জমির বাইরে বসবাস এবং বৈধ সরঞ্জামের অপব্যবহার

হুমকিদাতারা সুস্পষ্ট ম্যালওয়্যারকে বৈধ সিস্টেম ইউটিলিটি এবং সুপরিচিত অ্যাডমিন টুলের সাথে মিশিয়ে ব্যবহার করে। সংবেদনশীল তথ্যের জন্য ম্যানুয়ালি কন্টেন্ট পরিদর্শন করার জন্য তাদের mspaint.exe, notepad.exe, এবং iexplore.exe দিয়ে ফাইল খুলতে দেখা গেছে, এবং দূষিত উদ্দেশ্য লুকিয়ে রেখে নির্বাচিত ফাইলগুলিকে দূরবর্তী সার্ভারে স্থানান্তর করার জন্য প্রকৃত Cyberduck ক্লায়েন্ট ব্যবহার করতে দেখা গেছে।

চুরি হওয়া শংসাপত্রগুলি কীভাবে কাজে লাগানো হয়

একবার শংসাপত্র হাতে পেলে, কিলিন অভিনেতারা বিশেষাধিকার বৃদ্ধি করে এবং পার্শ্বীয়ভাবে ছড়িয়ে পড়ে। বিভিন্ন ধরণের রিমোট মনিটরিং অ্যান্ড ম্যানেজমেন্ট (RMM) এবং রিমোট-অ্যাক্সেস পণ্য - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist এবং ScreenConnect - ইনস্টল করার জন্য এলিভেটেড অ্যাক্সেস ব্যবহার করা হয়েছে - যদিও গবেষকরা (Talos) সর্বদা নির্ধারণ করতে পারেননি যে প্রতিটি পণ্য প্রাথমিকভাবে পার্শ্বীয় চলাচলের জন্য ব্যবহৃত হয়েছিল নাকি স্থায়ী রিমোট কন্ট্রোলের জন্য ব্যবহৃত হয়েছিল।

ফাঁকি, অধ্যবসায় এবং শোষণ-পরবর্তী

সনাক্তকরণ এড়াতে আক্রমণকারীরা PowerShell সিকোয়েন্সগুলি কার্যকর করে যা AMSI অক্ষম করে, TLS সার্টিফিকেট বৈধতা বন্ধ করে এবং সীমাবদ্ধ অ্যাডমিন মোড সক্ষম করে। তারা নিরাপত্তা পণ্যগুলি বন্ধ করার জন্য কিল-সুইচ স্টাইল ইউটিলিটি যেমন ডার্ক-কিল এবং HRSword ব্যবহার করে। স্থিরতা এবং গোপন কমান্ড-এবং-নিয়ন্ত্রণের জন্য তারা Cobalt Strike এবং SystemBC ব্যবহার করে।

র‍্যানসমওয়্যার স্থাপন এবং পরিষ্কারকরণ

চূড়ান্ত পর্যায় হল কিলিন র‍্যানসমওয়্যার স্থাপন: ফাইলগুলি এনক্রিপ্ট করা হয়, র‍্যানসম নোটগুলি এনক্রিপ্ট করা ফোল্ডারে ফেলে দেওয়া হয়, উইন্ডোজ ইভেন্ট লগগুলি মুছে ফেলা হয় এবং ভলিউম শ্যাডো কপি সার্ভিস (VSS) দ্বারা তৈরি সমস্ত শ্যাডো কপি পুনরুদ্ধারের প্রচেষ্টাকে ব্যর্থ করার জন্য মুছে ফেলা হয়।

উন্নত হাইব্রিড আক্রমণ শৃঙ্খল (উইন্ডোজ + BYOVD-তে লিনাক্স বাইনারি)
কিছু অত্যাধুনিক কিলিন ঘটনা বেশ কয়েকটি উন্নত কৌশলকে একত্রিত করেছে। অপারেটররা একটি লিনাক্স-কম্পাইল করা র‍্যানসমওয়্যার বাইনারি স্থাপন করেছে কিন্তু এটি উইন্ডোজ হোস্টে কার্যকর করেছে, প্রতিরক্ষা নিষ্ক্রিয় করার জন্য 'আপনার নিজস্ব দুর্বল ড্রাইভার আনুন' (BYOVD) কৌশলের সাথে সেই পেলোড যুক্ত করেছে এবং পরিবেশের মধ্য দিয়ে চলাচল এবং পেলোড কার্যকর করার জন্য বৈধ আইটি ম্যানেজমেন্ট টুলিং ব্যবহার করেছে। এই আক্রমণগুলিতে eskle.sys ড্রাইভারকে দুর্বল ড্রাইভার উপাদান হিসাবে দেখা গেছে যা সুরক্ষা নিয়ন্ত্রণ নিষ্ক্রিয় করতে, প্রক্রিয়াগুলিকে বন্ধ করতে এবং সনাক্তকরণ এড়াতে ব্যবহৃত হয়।

ব্যাকআপ টার্গেটিং এবং তৈরি শংসাপত্র চুরি

কিলিন বিশেষভাবে ভিম ব্যাকআপ অবকাঠামোকে লক্ষ্যবস্তু করেছে। আক্রমণকারীরা ব্যাকআপ ডাটাবেসের বিরুদ্ধে বিশেষায়িত শংসাপত্র নিষ্কাশন সরঞ্জাম ব্যবহার করে শংসাপত্র সংগ্রহ করেছে, র‍্যানসমওয়্যার বাদ দেওয়ার আগে প্রতিষ্ঠানের দুর্যোগ-পুনরুদ্ধার প্ল্যাটফর্মগুলিকে পদ্ধতিগতভাবে আপস করেছে, যা ক্ষতিগ্রস্তদের জন্য ঝুঁকি উল্লেখযোগ্যভাবে বাড়িয়েছে।

ফিশিং এবং জাল ক্যাপচা ডেলিভারি প্রক্রিয়া

বৈধ অ্যাকাউন্ট অপব্যবহারের বাইরেও, কিছু অনুপ্রবেশ শুরু হয়েছিল স্পিয়ার-ফিশিং বা ক্লাউডফ্লেয়ার R2-তে হোস্ট করা ক্লিকফিক্স-স্টাইলের জাল ক্যাপচা পৃষ্ঠাগুলির মাধ্যমে। এই পৃষ্ঠাগুলি তথ্য চুরিকারী পেলোড সরবরাহ করে বলে মনে হচ্ছে যা শংসাপত্র সংগ্রহ করে, যা পরে প্রাথমিক নেটওয়ার্ক অ্যাক্সেস পেতে পুনরায় ব্যবহার করা হয়।

পর্যবেক্ষণ করা মূল কৌশল এবং অবকাঠামোর মধ্যে রয়েছে:

• দূরবর্তী অ্যাক্সেস এবং কমান্ড কার্যকর করার জন্য একটি SOCKS প্রক্সি DLL স্থাপন করা হচ্ছে।
• পার্শ্বীয় চলাচলের লক্ষ্যবস্তু সনাক্ত করার জন্য আবিষ্কার কমান্ড এবং নেটওয়ার্ক স্ক্যানিং সরঞ্জাম চালানোর জন্য ScreenConnect এর অপব্যবহার করা।
• একাধিক ডাটাবেস থেকে ব্যাকআপ শংসাপত্র বের করার জন্য ভিম ব্যাকআপ সিস্টেমগুলিকে লক্ষ্য করে।
• BYOVD আক্রমণে eskle.sys ড্রাইভার ব্যবহার করে নিরাপত্তা সফ্টওয়্যার নিরপেক্ষ করা এবং প্রতিরক্ষামূলক প্রক্রিয়াগুলি বন্ধ করা।
• লিনাক্স হোস্টে পার্শ্বীয়ভাবে স্থানান্তরের জন্য PuTTY SSH ক্লায়েন্ট স্থাপন করা।
• COROXY ব্যাকডোরের মাধ্যমে C2 ট্র্যাফিককে অস্পষ্ট করার জন্য বিভিন্ন ডিরেক্টরি জুড়ে SOCKS প্রক্সি ইনস্ট্যান্স চালানো।
• উইন্ডোজ সিস্টেমে লিনাক্স র‍্যানসমওয়্যার বাইনারি সরাতে WinSCP ব্যবহার করা।
• উইন্ডোজ মেশিনে সরাসরি লিনাক্স র‍্যানসমওয়্যার বাইনারি চালানোর জন্য স্প্ল্যাশটপ রিমোটের SRManager.exe ব্যবহার করা।

ক্রস-প্ল্যাটফর্ম ইমপ্যাক্ট এবং ভার্চুয়ালাইজেশন টার্গেটিং

লিনাক্স বাইনারি ক্রস-প্ল্যাটফর্ম ক্ষমতা প্রদান করে: একটি একক পেলোড একটি পরিবেশে লিনাক্স এবং উইন্ডোজ উভয় সিস্টেমকেই প্রভাবিত করতে পারে। সম্প্রতি, কিলিন নমুনাগুলি নিউটানিক্স এএইচভি পরিবেশ সনাক্ত করার জন্য আপডেট করা হয়েছে, যা দেখায় যে গ্রুপটি ঐতিহ্যবাহী ভিএমওয়্যার স্থাপনার বাইরে আধুনিক হাইপারকনভার্জড অবকাঠামোতে লক্ষ্যবস্তু সম্প্রসারণ করছে।

সারাংশ

কিলিনের কার্যক্রমে শংসাপত্র চুরি, বৈধ অ্যাডমিন টুলিংয়ের অপব্যবহার, BYOVD কৌশল, ব্যাকআপ সিস্টেমে লক্ষ্যবস্তু আক্রমণ এবং ক্রস-প্ল্যাটফর্ম র‍্যানসমওয়্যারকে একত্রিত করা হয়েছে যাতে প্রভাব সর্বাধিক হয় এবং সনাক্তকরণ এড়ানো যায়। ডিফেন্ডারদের শংসাপত্রের স্বাস্থ্যবিধি, রিমোট অ্যাক্সেস ইন্টারফেসে মাল্টিফ্যাক্টর প্রমাণীকরণ, ব্যাকআপ সিস্টেমের বিভাজন, বৈধ রিমোট-ম্যানেজমেন্ট সরঞ্জামগুলির অস্বাভাবিক ব্যবহারের জন্য কঠোর পর্যবেক্ষণ এবং ড্রাইভার-ভিত্তিক BYOVD কার্যকলাপ সনাক্ত করার জন্য নিয়ন্ত্রণগুলিকে অগ্রাধিকার দেওয়া উচিত। এই ব্যবস্থাগুলি সংগ্রহ করা শংসাপত্র বা একক আপসের ফলে পূর্ণ-স্কেল র‍্যানসমওয়্যার স্থাপনের সম্ভাবনা হ্রাস করে।