محققان امنیتی بدافزار جدیدی را کشف کرده اند که در یک کمپین هدفمند سیستم های ویندوزی و لینوکسی را نشانه گرفته است. باج افزار تایکون (Tycoon) که از دسامبر سال ۲۰۱۹ فعال بوده ظاهرا حاصل تلاش جمعی از مجرمان سایبری است که اهدافی به شدت گزینش شده دارند. این بدافزار همچنین نوع غیررایجی از تکنیک اجرا را به کار می برد که به آن کمک می کند در شبکه های تضعیف شده به راحتی خود را پنهان نماید.
اصلی ترین اهداف تایکون سازمان های فعال در صنایع آموزشی و نرم افزاری هستند.
تایکون با تلاش جمعی از محققان بلک بری کشف شد که مشغول همکاری با تحلیلگران امنیتی KPMG بودند. این کد مخرب شکل نامعمولی از یک باج افزار است چراکه با زبان جاوا نوشته شده، به عنوان یک سیستم زمان اجرای جاوا خود را معرفی کرده و در ایمیج فایل جاوا (Jimage) کامپایل شده است تا تمایلات مخرب خود را پنهان نماید.
اریک میلم معاون تحقیقات و اطلاعات بلک بری در این باره گفته است:
اینها همگی روش های یکتایی به شمار می روند. جاوا به ندرت برای نوشتن بدافزار اندپوینت مورد استفاده قرار می گیرد زیرا برای اجرای کد نیاز به سیستم زمان اجرا دارد. ایمیج فایل های جاوا نیز کمتر برای حملات بدافزاری به کار می روند.
او صحبت هایش را اینطور ادامه داد:
مهاجمان مرتبا به زبان های برنامه نویسی غیر رایج و فرمت های منسوخ داده ای روی می آورند. در این باج افزار نیازی به پنهان سازی کد نبوده اما هکرها کاملا در این کار موفق عمل کرده اند.
علیرغم این، نخستین مرحله از حملات باج افزار تایکون کاملا مرسوم است و از طریق نفوذ به سرورهای RDP ناامن سمت اینترنت رقم می خورد. این یک روش حمله بسیار رایج برای کمپین های بدافزاری است و معمولا در آنها از پسوردهای ضعیف یا پیشتر تضعیف شده سرورها استفاده می شود.
بعد از آنکه باج افزار وارد شبکه شد مهاجمان از تنظیمات IFEO که غالبا از سوی توسعه دهندگان برای رفع باگ نرم افزارها به کار گرفته می شود استفاده می کنند تا حضور خود در شبکه را پایدار نمایند. مهاجمان همچنین از امتیازهای خود برای غیرفعال کردن نرم افزار ضد بدافزار کمک می گیرند تا مانع از شناسایی حمله شان شوند.
میلم در ادامه صحبتهایش اشاره کرد:
از بدافزارها میتوان در زبان های بسیار پیشرفته نظیر جاوا استفاده کرد و آنها را به شیوه های غیرمنتظره ای اجرا کرد.
بعد از اجرا بدافزار شبکه را با استفاده از فایل های رمزگذاری شده توسط تایکون (از جمله .redrum/ .grinch و یا .thanos) رمزگذاری می کند و در ادامه مهاجمان از صاحبان شبکه درخواست باج می کنند تا فایل هایشان را رمزگشایی کنند. آنها معمولا خواستار دریافت بیت کوین هستند و در چانه زنی های خود می گویند که قیمت بستگی به سرعت عمل قربانی در پاسخ گویی به ایمیل هایشان دارد.
محققان باور دارند که باج افزار تایکون به بدافزار دیگری به نام Dharma ارتباط دارد؛ علت هم شباهت آدرس های ایمیلی به کار رفته، اسامی فایل های رمزگذاری شده توسط آنها و متن یادداشت باج خواهی شان است.
پاسخ ها