Sophos Active Adversary Playbook 2022 গবেষণা প্রকাশ করে যে সাইবার অপরাধীদের তাদের শিকারের নেটওয়ার্কে বসবাসের সময় 36% বেড়েছে

Sophos, পরবর্তী প্রজন্মের সাইবারসিকিউরিটির একটি বিশ্বনেতা, আজ প্রকাশিত হয়েছে "সক্রিয় প্রতিপক্ষ প্লেবুক 2022 ", রিপোর্ট যা 2021 সালে সোফোস র‌্যাপিড রেসপন্স টিম দ্বারা ক্ষেত্রটিতে পর্যবেক্ষণ করা সাইবার অপরাধমূলক আচরণের সংক্ষিপ্ত বিবরণ দেয়।

গবেষণা থেকে যে তথ্য উঠে এসেছে তা ইঙ্গিত করে একটি 36 সালে সাইবার অপরাধীরা প্রভাবিত সিস্টেমের মধ্যে 2021% বৃদ্ধি পেয়েছে 15 সালে 11-এর তুলনায় 2020 দিনের মাঝামাঝি।

প্রতিবেদনটি মাইক্রোসফ্ট এক্সচেঞ্জের মধ্যে প্রক্সিশেল দুর্বলতার প্রভাবকেও তুলে ধরে, যা সোফোস বিশ্বাস করে যে কিছু প্রাথমিক অ্যাক্সেস ব্রোকার (IABs) নেটওয়ার্কগুলি লঙ্ঘন করতে এবং তারপরে অন্যদের কাছে তাদের অ্যাক্সেস পুনরায় বিক্রি করার জন্য শোষণ করে।

“সাইবার ক্রাইমের বিশ্ব অবিশ্বাস্যভাবে বৈচিত্র্যময় এবং বিশেষায়িত হয়ে উঠেছে। দ্য প্রাথমিক অ্যাক্সেস ব্রোকার (যেগুলি সাইবার ক্রাইম শিল্পকে কর্পোরেট আইটি সিস্টেমে অ্যাক্সেস প্রদান করে) এমন একটি বাস্তব শিল্প গড়ে তুলেছে যা একটি টার্গেটে হ্যাক করে, এর আইটি পরিবেশ অন্বেষণ করে বা একটি ব্যাকডোর ইনস্টল করে, এবং তারপর এটির সাথে কাজ করে এমন গ্যাংগুলির কাছে অ্যাক্সেস পুনরায় বিক্রি করে৷ ransomware সোফোসের সিনিয়র নিরাপত্তা উপদেষ্টা জন শিয়ের ব্যাখ্যা করেছেন। “এই ক্রমবর্ধমান গতিশীল এবং বিশেষায়িত পরিস্থিতিতে, সাইবার অপরাধীদের দ্বারা ব্যবহৃত সরঞ্জাম এবং পদ্ধতির বিবর্তনের সাথে তাল মিলিয়ে চলা কোম্পানিগুলির পক্ষে কঠিন হতে পারে। এটা অত্যাবশ্যক যে ডিফেন্ডার জানেন যে আক্রমণের ক্রমটির প্রতিটি পর্যায়ে কী দেখতে হবে, যাতে তারা যত তাড়াতাড়ি সম্ভব লঙ্ঘনের প্রচেষ্টা সনাক্ত করতে এবং নিরপেক্ষ করতে পারে”।

সোফোস গবেষণা আরও দেখায় যে কর্পোরেট আইটি পরিবেশে অনুপ্রবেশকারীদের বসবাসের সময় বেশিরভাগের চেয়ে বেশি ছোট: 51 থেকে 250 কর্মচারীর মধ্যে 20 দিনের বিপরীতে 3.000 জন কর্মচারীর সাথে বাস্তবে প্রায় 5.000 দিন।

"সাইবার অপরাধীরা বৃহত্তর কোম্পানিগুলির উপর বেশি মূল্য রাখে, তাই তারা প্রবেশ করতে, তাদের যা করতে হবে তা করতে এবং তারপরে বেরিয়ে যেতে আরও অনুপ্রাণিত হয়। ছোট কোম্পানিগুলির 'মান' কম অনুভূত হয়, তাই আক্রমণকারীরা দীর্ঘ সময়ের জন্য নেটওয়ার্কের মধ্যে থাকতে পারে। এটাও সম্ভব যে এই ক্ষেত্রে আক্রমণকারীরা কম অভিজ্ঞ এবং তাই নেটওয়ার্কের ভিতরে একবার কী করতে হবে তা বের করতে আরও সময় নেয়। ছোট ব্যবসাগুলিরও সাধারণত আক্রমণের ক্রমগুলিতে কম দৃশ্যমানতা থাকে এবং ফলস্বরূপ লঙ্ঘন সনাক্ত করতে এবং নিরপেক্ষ করতে কঠিন সময় হয়, এইভাবে সাইবার অপরাধীদের উপস্থিতি দীর্ঘায়িত হয়, ”মন্তব্য শিয়ের। “অমীমাংসিত ProxyLogon এবং ProxyShell দুর্বলতা এবং প্রাথমিক অ্যাক্সেস ব্রোকারের বিস্তার থেকে উদ্ভূত সুযোগের সাথে, আমরা একই শিকারের মধ্যে একাধিক আক্রমণকারীর জন্য ক্রমবর্ধমানভাবে পরীক্ষা করছি। যদি একটি নেটওয়ার্কে আরও অপরাধী থাকে, তবে তাদের প্রত্যেকে যথাসময়ে প্রতিযোগিতাকে হারাতে যত তাড়াতাড়ি সম্ভব কাজ করতে চাইবে”।

 উদ্ভূত সবচেয়ে প্রাসঙ্গিক তথ্যগুলির মধ্যে, নিম্নলিখিতগুলি উল্লেখ করা উচিত:

• সাইবার অপরাধীদের আবিষ্কৃত হওয়ার আগে থাকার মাঝারি দৈর্ঘ্য স্টিলথ অনুপ্রবেশের জন্য বেশি যা র্যানসমওয়্যারের মতো প্রকাশ্য আক্রমণগুলিকে ট্রিগার করে না এবং ছোট ব্যবসা এবং ছোট ব্যবসার অংশগুলির জন্য যাদের আইটি সুরক্ষা সংস্থান কম রয়েছে৷ র‍্যানসমওয়্যার দ্বারা প্রভাবিত কোম্পানিগুলিতে বসবাসের সময়ের গড় মান 11 দিন হয়েছে। ভিতরে র‍্যানসমওয়্যারের মতো সুস্পষ্ট আক্রমণ দ্বারা অনুসরণ করা হয়নি এমন লঙ্ঘনের ক্ষেত্রে (সমস্ত ঘটনার 23% বিশ্লেষণ করা হয়েছে), মধ্যমা ছিল 34 দিন। স্কুল সেক্টরের সাথে সম্পর্কিত বা 500 জনের কম কর্মচারী থাকার বাস্তবতা এমনকি দীর্ঘ বসবাসের সময় রেকর্ড করা হয়েছে।

• দীর্ঘ থাকার সময় এবং খোলা অ্যাক্সেস পয়েন্ট কোম্পানিগুলিকে একাধিক আক্রমণের সম্মুখীন করে। এমন ঘটনার প্রমাণ পাওয়া গেছে যেখানে একই কোম্পানি একাধিক প্রতিপক্ষ যেমন IAB, r বিশেষজ্ঞ গ্যাংansomware, ক্রিপ্টোমাইনার এবং মাঝে মাঝে এমনকি অপারেটররাও একাধিক র‍্যানসমওয়্যারের সাথে যুক্ত।

• বাহ্যিক অ্যাক্সেসের জন্য রিমোট ডেস্কটপ প্রোটোকল (RDP) এর ব্যবহার হ্রাস সত্ত্বেও, আক্রমণকারীরা অভ্যন্তরীণ পার্শ্বীয় আন্দোলনের উদ্দেশ্যে এর ব্যবহার বাড়িয়েছে। 2020 সালে, বিশ্লেষণ করা 32% ক্ষেত্রে বাহ্যিক ক্রিয়াকলাপের জন্য RDP ব্যবহার করা হয়েছিল, 13 সালে সংখ্যাটি 2021% এ নেমে এসেছে. যদিও এই পরিবর্তনকে স্বাগত জানানো হয় এবং কোম্পানিগুলির দ্বারা বাহ্যিক আক্রমণের সারফেসগুলির আরও ভাল ব্যবস্থাপনার পরামর্শ দেয়, সাইবার অপরাধীরা তাদের অভ্যন্তরীণ পাশ্বর্ীয় গতিবিধির জন্য আরডিপির অপব্যবহার করে চলেছে৷ সোফোস দেখেছেন যে 82 সালে বিশ্লেষণ করা 2021% ক্ষেত্রে অভ্যন্তরীণ পার্শ্বীয় আন্দোলনের জন্য RDP-এর ব্যবহার ঘটেছে নিয়ন্ত্রণ 69% এর 2020

• আক্রমণ করার জন্য ব্যবহৃত সরঞ্জামগুলির সাধারণ সংমিশ্রণগুলি অবাঞ্ছিত কার্যকলাপের একটি সতর্কতা চিহ্ন। উদাহরণস্বরূপ, নিরাপত্তা ঘটনা বিশ্লেষণে দেখা গেছে যে 2021 সালে স্ক্রিপ্টগুলি পর্যবেক্ষণ করা হয়েছিল PowerShell এবং নন-PowerShell দূষিত স্ক্রিপ্ট একসাথে 64% সময়; পাওয়ারশেল এবং কোবাল্ট স্ট্রাইক একসাথে 56% ক্ষেত্রে; এবং PowerShell এবং PsExec একসাথে 51% ক্ষেত্রে. এই ধরনের পারস্পরিক সম্পর্ক সনাক্তকরণ একটি আসন্ন আক্রমণের প্রাথমিক সতর্কতা বা অগ্রগতিতে আক্রমণের নিশ্চিতকরণ হিসাবে কাজ করতে পারে।

• 50% পর্যবেক্ষণ করা র‍্যানসমওয়্যার ঘটনার মধ্যে ডেটা এক্সফিল্ট্রেশন জড়িত - এবং উপলভ্য ডেটার সাথে, ডেটা চুরি এবং র্যানসমওয়্যার সক্রিয়করণের মধ্যে গড় ব্যবধান ছিল 4,28 দিন। 73 সালে সোফোসের হস্তক্ষেপের 2021% ঘটনা র্যানসমওয়্যারের ক্ষেত্রে জড়িত। এর মধ্যে 50% ডেটা অপসারণও জড়িত। র‍্যানসমওয়্যার সক্রিয় হওয়ার আগে এক্সফিল্ট্রেশন প্রায়শই আক্রমণের শেষ পর্যায় হয় এবং ঘটনা বিশ্লেষণগুলি 4,28 দিনের মধ্যবর্তী 1,84 দিনের দুটি ইভেন্টের মধ্যে একটি গড় ব্যবধান গণনা করে।

• কন্টি এটা গ্যাং ছিল 2021 সালে পর্যবেক্ষণ করা ব্যক্তিদের মধ্যে সবচেয়ে বেশি র্যানসমওয়্যার, সামগ্রিক ঘটনার 18% জন্য দায়ী। র‍্যানসমওয়্যার রিভিল 1টি ঘটনার মধ্যে 10টি জড়িত, যখন অন্যান্য ব্যাপক র‍্যানসমওয়্যার পরিবার ছিল অন্ধকার দিক, মার্কিন যুক্তরাষ্ট্রে ঔপনিবেশিক পাইপলাইনে হামলার জন্য RaaS দোষী, ই কালো কিংডম, র্যানসমওয়্যারের "নতুন" পরিবারগুলির মধ্যে একটি যা প্রক্সিলগন দুর্বলতার পরিপ্রেক্ষিতে 2021 সালের মার্চ মাসে উপস্থিত হয়েছিল। বিশ্লেষণে 41টি ঘটনার মধ্যে 144টি ভিন্ন র‍্যানসমওয়্যার অপারেটর চিহ্নিত করা হয়েছে; এর মধ্যে 28টি নতুন গ্রুপ যা 2021 সালে প্রথম আবির্ভূত হয়েছিল। 2020 সালে দুর্ঘটনার জন্য দায়ী আঠারোটি গ্যাং 2021 সালের তালিকা থেকে অদৃশ্য হয়ে গেছে

"আইটি নিরাপত্তা ব্যবস্থাপকদের সতর্ক করা উচিত এমন লক্ষণগুলির মধ্যে রয়েছে একটি টুল সনাক্তকরণ, নেটওয়ার্কের একটি অপ্রত্যাশিত পয়েন্টে বা একটি অপ্রত্যাশিত মুহূর্তে সরঞ্জাম বা ক্রিয়াকলাপের সংমিশ্রণ," শিয়ার ব্যাখ্যা করেন। “এটি মনে রাখা মূল্যবান যে কিছু সময় বা কোনো কার্যকলাপ হতে পারে, কিন্তু এর মানে এই নয় যে একটি কোম্পানি হ্যাক করা হয়নি। উদাহরণ স্বরূপ, বর্তমানে জানার চেয়ে অনেক বেশি ProxyLogon বা ProxyShell লঙ্ঘন রয়েছে, যেখানে ওয়েব শেল এবং ব্যাকডোরগুলি স্থায়ী অ্যাক্সেস পাওয়ার জন্য ইনস্টল করা হয়েছে এবং যা বর্তমানে অ্যাক্সেসটি ব্যবহার করা বা অন্যদের কাছে পুনরায় বিক্রি না হওয়া পর্যন্ত নিষ্ক্রিয় থাকে। বিশেষ করে জনপ্রিয় সফ্টওয়্যার এবং অগ্রাধিকার হিসাবে, দূরবর্তী অ্যাক্সেস পরিষেবাগুলির নিরাপত্তা জোরদার করার জন্য জটিল বাগগুলি ঠিক করতে প্যাচগুলি প্রয়োগ করতে হবে৷ যতক্ষণ না উন্মুক্ত এন্ট্রি পয়েন্টগুলি বন্ধ করা হয় এবং আক্রমণকারীরা অ্যাক্সেস প্রতিষ্ঠা ও বজায় রাখার জন্য যা কিছু করেছে তা নির্মূল না করা পর্যন্ত, যে কেউ তাদের সাথে প্রবেশ করতে সক্ষম হবে এবং সম্ভবত হবে”।

Sophos Active Adversary Playbook 2022 অধ্যয়নটি 144 সালে নিম্নলিখিত দেশে অবস্থিত সমস্ত আকার এবং ব্যবসায়িক সেক্টরের কোম্পানিগুলির মধ্যে 2021টি ঘটনার উপর ভিত্তি করে তৈরি করা হয়েছে: মার্কিন যুক্তরাষ্ট্র, কানাডা, যুক্তরাজ্য, জার্মানি, ইতালি, স্পেন, ফ্রান্স, সুইজারল্যান্ড, বেলজিয়াম, নেদারল্যান্ডস, অস্ট্রিয়া, সংযুক্ত আরব আমিরাত, সৌদি আরব, ফিলিপাইন, বাহামা, অ্যাঙ্গোলা এবং জাপান।

সর্বাধিক প্রতিনিধিত্বকারী খাতগুলি হল শিল্প (17%), খুচরা (14%), স্বাস্থ্যসেবা (13%), আইটি (9%), নির্মাণ (8%) এবং স্কুল (6%)।

সোফোস রিপোর্টের লক্ষ্য হল সাইবারসিকিউরিটি ম্যানেজারদের বুঝতে সাহায্য করা যে আক্রমণের সময় তাদের প্রতিপক্ষরা কী করছে এবং কীভাবে নেটওয়ার্কে ছড়িয়ে থাকা দূষিত কার্যকলাপ থেকে নিজেদেরকে শনাক্ত ও রক্ষা করা যায়। সাইবার অপরাধীদের আচরণ, সরঞ্জাম এবং কৌশল সম্পর্কে আরও তথ্যের জন্য, Sophos News-এ Sophos Active Adversary Playbook 2022 দেখুন।