کمیته رکن چهارم – اخیرا متخصصان امنیتی موفق به شناسایی ورژن باج افزاری جدیدی به نام “Tycoon” شدند که با هدف قرار دادن کاربران ویندوز و لینوکس، تمامی فایل های آنان را قفل میکند. همه ما می دانیم که هکرها به طور مداوم دنبال بهره برداری از ابزارهای مخرب جدید و نوظهور هستند تا بتوانند به مراکز داده و سیستم های کاربران نفوذ کرده و داده ها و اطلاعات مهم آنان را به سرقت ببرند. بنابراین داشتن اطلاعات از روند حملات باج افزاری و نوع آنها برای همه کاربران الزامی است.
مایکروسافت ویندوز جزء پرکاربردترین سیستم عامل ها محسوب می شود و همین امر موجب می گردد تا هکرها آن را به عنوان هدف اصلی خود قرار دهند. البته باید در نظر داشته باشیم که سیستم عامل های دیگر مانند macOS و Linux نیز مورد توجه مهاجمان سایبری قرار دارد.
تیم امنیتی BlackBerry در همکاری با سرویس های پاسخگویی حوادث سایبری KPMG در انگلستان، باج افزار شناسایی شده را “Tycoon” نامگذاری کردند که از پایان سال ۲۰۱۹ به بهره برداری رسیده است. ویژگی اصلی Tycoon آلوده کردن کاربران ویندوز و لینوکس و رمزگذاری کردن فایل های آنان می باشد.
هکرها، Tycoon را درون یک فایل ZIP پنهان می کنند و به محض اینکه شخص قربانی این فایل را باز کند فرآیند رمزگذاری آغاز شود. آنها معمولاً از سرور RDP و شبکه های آسیب پذیر استفاده می کنند تا وارد سیستم شوند. هنگامی که شخص هکر موفق به اجرای باج افزار بر روی سیستم قربانی شد، در مرحله اول سعی می کند دسترسی خود را حفظ کند که برای این کار از تزریق IFEO (آپشن های اجرایی فایل عکس) استفاده می کند.
در مرحله بعدی رمزعبور Active Directory را تغییر داده و آنتی ویروس را غیرفعال می کند و سپس ابزار ProcessHacker که یک سرویس HaaS است را نصب می کند. پس از انجام تمام این مراحل، باج افزار شروع به رمزگذاری تمام داده های موجود در رایانه و درایوهای شبکه می کند.
پس از اتمام مراحل بالا، کلید خصوصی به طور خودکار و ایمن برای هکر ارسال شده و از روی سیستم قربانی حذف می گردد سپس یک پیام باج خواهی برای قربانی به نمایش در می آید. (فایل ها با دو پسوند ناشناخته توسط باج افزار Tycoon رمز می شوند “grinch” و “thanos”)
چگونگی شناسایی باج افزار و روند تحقیقات صورت گرفته
در ابتدا محققان امنیتی BlackBerry پس از حمله هکرها به شبکه یک موسسه آموزشی در اروپا این باج افزار را شناسایی کرده اند. در این حمله مهاجمان از طریق یک سرور RDP متصل به اینترنت به شبکه دسترسی پیدا کرده و بکدور خود را مستقر کردند. کارشناسان امنیتی معتقد بودند که مهاجمان در این حمله بکدور خود را روی سرورهای آسیب پذیر مستقر کرده و پس از گذشت هفت روز دوباره از طریق بکدور مجدداً وارد شبکه موسسه شدند.
محققان امنیتی خاطرنشان کردند که این نوع حمله معمولی نیست زیرا مهاجمان علاوه بر رمزگذاری در جاوا، از فایل تصویری جاوا (JIMAGE) واقع در lib\Modules برای مخفی کردن پیلود مخرب خود استفاده می کنند
باج افزار Tycoon با استفاده از مکانیسم های توزیع بسیار هدفمند می تواند به SMB (مشاغل کوچک و متوسط)، مؤسسات آموزش و حوزه های نرم افزاری نفوذ کرده و مقادیر قابل توجهی باج از قربانیان اخذ کند.
توصیه های امنیتی به کاربران
ما به کاربران خود توصیه می کنیم برای اینکه از این نوع بدافزارها و باج افزارها در امان باشند، همیشه باید از مهمترین فایل های خود نسخه پشتیبان تهیه کرده و سیستم عامل و برنامه های نصب شده خود را به روز نگه دارند. کاربران باید آنتی ویروس مناسبی را برای ویندوز یا لینوکس نصب کنند وهنگام دانلود فایل از اینترنت مراقب باشند.
منبع: ایران سایبر
