باج افزار جدید رایانه های شخصی ویندوز و لینوکس را بصورت دقیق و حساب شده مورد حمله قرار می دهد

Tycoon نام بد افزار جدید و مخوفی است که توسط کد های جاوا توسعه داده شده است، این باج افزار از دسامبر سال ۲۰۱۹ فعال است و به نظر می رسد کار مجرمان سایبری است که در هدف گیری خود بسیار دقیق هستند. این بدافزار همچنین از یک روش استقرار غیر معمول استفاده می کند که به پنهان ماندن در شبکه ها کمک می کند.
اهداف اصلی Tycoon سازمانهایی در آموزش و پرورش و صنایع نرم افزاری هستند.
Tycoon توسط محققان BlackBerry با تحلیلگران امنیتی در KPMG کشف شده است. این یک نوع غیرعادی از باج افزار است زیرا به زبان جاوا نوشته شده است ، به عنوان یک محیط Trojanised Java Runtime Environment مستقر شده و برای مخفی کردن اهداف مخرب خود در یک فایل تصویری جاوا (Jimage) مستتر شده است.

در تازه ترین اظهار نظر بلک بری چنین آمده است :”این دو روشی که توسعه دهندگان این بد افزار از آن استفاده می کنند، منحصر به فرد هستند. جاوا به ندرت برای نوشتن بدافزار endpoint مورد استفاده قرار می گیرد زیرا برای اجرا به محیط Java Runtime Environment نیاز دارد تا بتواند کد را اجرا کند. پرونده های تصویری به ندرت برای حمله به بدافزارها استفاده می شوند.”

همچنین بلک بری می افزاید : “مهاجمان به سمت زبان های برنامه نویسی غیر معمول و قالب های داده های مبهم در حال کوچ هستند. در اینجا ، مهاجمان نیازی به رمزگذاری کد خود ندارند اما با این وجود در تحقق اهداف خود موفق بودند.”

با این حال ، اولین مرحله از حملات ransomware Tycoon از طریق سرورهای نا امن اینترنت روبرو صورت می گیرد. این یک وکتور حمله معمولی برای کمپین های بدافزار است و اغلب از سرورهایی با رمزهای عبور ضعیف یا قبلاً به خطر افتاده استفاده می کند.

مهاجمان وقتی داخل شبکه هستند ، با استفاده از تنظیمات تزریق Image File Exactions Options (IFEO) که بیشتر در اختیار توسعه دهندگان و اشکال زداهای نرم افزار است ، پایداری خود را حفظ می کنند. مهاجمان همچنین از امتیازاتی برای غیرفعال کردن نرم افزار ضد بدافزار با استفاده از ProcessHacker استفاده می کنند تا جلوی شناسایی و نابودی خود را بگیرند.

پس از اجرا ، این باج افزار شبکه را با پرونده های رمزگذاری شده توسط Tycoon با پسوندهایی از جمله .redrum ، .grinch و .thanos رمزگذاری می کند و مهاجمان در ازای کلید رمزگشایی ، باج می خواهند. مهاجمان درخواست پرداخت بیت کوین را دارند و ادعا می کنند که قیمت بستگی به سرعت قربانی از طریق ایمیل دارد.

این واقعیت که این کمپین همچنان ادامه دارد ، نشان می دهد که افراد پشت پرده آن موفق به اخاذی پرداخت از قربانیان شده اند.

محققان پیشنهاد می کنند که Tycoon به دلیل شباهت های موجود در آدرس های ایمیل ، نام پرونده های رمزگذاری شده و متن یادداشت باج ، به طور بالقوه می تواند به فرم دیگری از باج افزار ، دارما – که با نام Crysis نیز شناخته می شود – مرتبط باشد.

از آنجا که RDP یک وسیله متداول برای سازش است ، سازمانها می توانند اطمینان حاصل کنند که تنها درگاههایی که به اینترنت وصل می شوند ، آنهایی هستند که به عنوان یک ضرورت مطلق به آن نیاز دارند.

سازمانها همچنین باید اطمینان حاصل کنند که حسابهایی که نیاز به دسترسی به این درگاهها دارند ، از اعتبارنامه پیش فرض یا کلمه عبور ضعیف استفاده نمی کنند که به راحتی می توان آن را حدس زد.

استفاده از وصله‌های امنیتی هنگام انتشار آنها نیز می‌تواند از بسیاری از حملات باج افزارها جلوگیری کند، چرا که مجرمان از آسیب‌پذیری‌های شناخته‌شده بهره می‌برند. سازمان‌ها همچنین باید اطمینان حاصل کنند که به طور مرتب شبکه خود را بروز رسانی و بک آپ گیری می‌کنند.