رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1399-03-31 13:03
تنظیم اندازه قلم

پ

2:37
کد خبر: 148675

حمله باج‌افزار جدید Tycoon به کاربران ویندوز و لینوکس

بدافزار

کارشناسان امنیتی هشدار داده‌اند که مجرمان سایبری با استفاده از باج‌افزار جدید جاوا "Tycoon" برای هدف قرار دادن کاربران ویندوز و لینوکس برای قفل کردن فایل‌ها استفاده می‌نمایند.

هکرها به طور مداوم به دنبال روش‌های جدیدی برای حمله به مراکز داده و سیستم‌های کاربران عادی هستند تا داده‌ها و اطلاعات ضروری آنها را سرقت نمایند.

از آنجا که سیستم عامل ویندوز به عنوان پرکاردبردترین سیستم‌عامل شناخته می‌شود، هکرها آن را مورد هدف قرار می‌دهند و همچنین به سیستم‌عامل‌های دیگر مانند macOS و Linux توجه بیشتری دارند.

کارشناسان امنیتی تیم تحقیق و اطلاعات بلک‌بری در همکاری با سرویس‌های پاسخگویی سایبری KPMG در انگلستان، این باج‌افزار را "Tycoon" نامگذاری کرده‌اند و از پایان سال 2019 به بهره‌برداری رسیده است.

ویژگی اصلی بدافزار Tycoon  آلوده کردن همه کاربران ویندوز و لینوکس است و این بدافزار به زبان برنامه نویسی جاوا نوشته شده است.

هکرها بدافزار Tycoon را درون یک فایل زیپ اصلاح شده پنهان می‌کنند که وقتی قربانی آن را باز کرد، تروجان را اجرا می‌کند. آنها معمولاً از سرور RDP و شبکه‌های آسیب‌پذیر استفاده می‌کنند تا وارد سیستم شوند.

هنگامیه هکر موفق به اجرای باج‌افزار بر روی سیستم قربانی شد، تلاش برای ماندگاری در سیستم را آغاز می‌کند و برای این کار تزریق یک IFEO ‪‪(Image file execution options)‬‬ را در عملکرد صفحه کلید روی صفحه نمایش ویندوز انجام می‌دهد.

همچنین رمزعبور اکتیو دایرکتوری را نیز تغییر داده و آنتی ویروس را غیرفعال می‌کند سپس ابزار کاربردی ProcessHacker hacker-as-a-service را نصب می‌کند.

TC 1.png

پس از انجام تمام این مراحل، باج‌افزار شروع به رمزگذاری تمام داده‌های موجود در رایانه و درایوهای شبکه می‌کند.

پس از اینکه تمام اقدامات به پایان رسید، باج‌افزار به طور خودکار کلید خصوصی را   برای هکر ارسال می‌کند و سپس این کلید خصوصی را از سیستم قربانی حذف می‌کند و در پایان نیز پیام غافلگیرانه‌ای را به قربانی نمایش می‌دهد.

TC 2.png

علاوه بر این، محققان امنیتی بیان كردند كه این یک نوع حمله معمولی نیست، زیرا علاوه بر رمزگذاری در جاوا، مهاجمان از فایل تصویری جاوا (JIMAGE) واقع در lib \ ماژول‌های موجود در فهرست ساخت برای مخفی کردن بار مخرب استفاده می‌کنند.

TC 3.png

به گفته محققان امنیتی، باج‌افزار Tycoon با استفاده از مکانیسم‌های توزیع بسیار هدفمند برای نفوذ به SMB (مشاغل کوچک و متوسط) ، مؤسسات آموزش و پرورش و صنایع نرم‌افزاری در یک کمپین حمله فعال باج‌افزار مستقر مستقر می‌شود، زیرا در اینجا می‌توانند مقادیر قابل توجهی پول به عنوان باج کسب کنند.

محافظت و کاهش

برای محافظت در برابر این نوع بدافزارها و باج‌افزارها همیشه باید از مهم‌ترین فایل‌های خود نسخه پشتیبان تهیه کنید و همچنین سیستم‌عامل و تمام برنامه‌های نصب شده را همواره بروز نمایید.

جدای از این اقدامات، باید متناسب با سیستم‌عامل خود آنتی‌ویروس مناسب ویندوز یا لینوکس را نصب کنید و در زمان دانلود هر فایل از طریق اینترنت باید مراقب باشید چراکه اکثر آنها حاوی بدافزار هستند.

در ادامه پسوندهای اضافه شده و امضاهای مورد استفاده مهاجمان آورده شده‌اند:

پسورد فایل‌های رمزگذاری شده:
•    thanos
•    grinch
•    redrum

امضاهای فایل‌های رمزگذاری شده:
•    happyny3.‎‎1
•    redrum3_0

 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط