Windows و Linux، هر دو از اهداف Tycoon

بر اساس گزارشی که شرکت‌های بلک‌بری و کی‌پی‌ام‌جی آن را منتشر کرده‌اند مهاجمان، حداقل از دسامبر 2019 در قالب حملات هدفمند موسوم به Human-operated سازمان‌های کوچک تا متوسط فعال در حوزه‌های نرم‌افزار و آموزش را آلوده به باج‌افزار Tycoon می‌کرده‌اند.

در هر یک از مراحل اجرای حملات Human-operated مهاجمان بسته به شرایط و نتایج حاصل شده در مراحل قبلی اقدام به تصمیم‌گیری و طراحی مرحله بعد می‌کنند.

Tycoon بدافزاری چندبستری مبتنی بر Java است که قادر به رمزگذاری فایل‌های ذخیره شده بر روی دستگاه‌های با هر یک از سیستم‌های عامل Windows و Linux است.

این باج‌افزار به‌صورت دستی و در قالب یک فایل ZIP که حاوی نسخه‌ای مخرب از Java Runtime Environment – به اختصار JRE – است توسط مهاجمان آن بر روی سیستم‌ها توزیع می‌شود.

روش رخنه اولیه به شبکه قربانیان، بهره‌جویی از سرورهای در معرض اینترنت که پودمان Remote Desktop Protocol – به اختصار RDP – بر روی آنها باز است اعلام شده است.

علیرغم آنکه Tycoon حداقل در شش ماهه گذشته فعال بوده اما اندک بودن شمار قربانیان آن، از محدود و خاص بودن دامنه اهداف گردانندگان این باج‌افزار حکایت دارد.

در نشانی‌های ایمیل مورد استفاده، متن درج شده در اطلاعیه باج‌گیری و سبک رمزگذاری فایل‌ها شباهت‌ها و ارتباطاتی میان Tycoon و Dharma/CrySIS به چشم می‌خورد.

در جریان این حملات هدفمند از تکنیک‌های زیر بهره گرفته شده است:

  • دست‌درازی به کلید Image File Execution Options در محضرخانه (Registry) برای ماندگار کدمخرب بر روی سیستم و پیوست کردن یک درب‌پشتی (Backdoor) به قابلیت Windows On-Screen Keyboard
  • قطع دسترسی کاربران به سیستم با تغییر رمزهای عبور Active Directory
  • غیرفعال کردن ضدویروس توسط ProcessHacker

پس از آماده شدن بستر، مهاجمان تمامی فایل‌های سرور و نسخ پشتیبان بر روی شبکه را با باج‌افزار Tycoon رمزگذاری می‌کنند.

 

 

باج‌افزار با کمک یک اسکریپت shell از قالب JIMAGE برای ایجاد JRE مخرب استفاده می‌کند.

به گزارش شرکت مهندسی شبکه گستر، باج‌افزار Tycoon فایل‌های قربانی را با استفاده از الگوریتم AES-256 رمزگذاری می‌کند. کلیدهای AES-256 نیز خود توسط الگوریتم RSA رمزگذاری می‌شوند؛ در نتیجه آن بدون در اختیار داشتن کلید خصوصی RSA امکان رمزگشایی فایل‌ها فراهم نیست.

در حالی که پیش‌تر با دستیابی به کلید خصوصی RSA یکی از قربانیان، رمزگشایی نسخه redrum باج‌افزار میسر شده بود، بازگرداندن رایگان نسخ grinch و thanos این باج‌افزار تا زمان انتشار این گزارش ممکن به نظر نمی‌رسد.

از آنجا که این JRE مخرب هم شامل یک فایل batch تحت Windows و یک shell مبتنی بر Linux است گردانندگان Tycoon عملاً قادر به رمزگذاری سرورهای Windows علاوه بر Linux هستند.

این احتمال نیز مطرح شده که Tycoon جزیی از یک کارزار گسترده‌تر شامل چندین باج‌افزار باشد که در آن بسته به بستر قربانی یکی از باج‌افزارها در شبکه قربانی توزیع می‌شود.

مشروح گزارش بلک‌بری/کی‌پی‌ام‌جی در لینک زیر قابل دریافت و مطالعه است:

https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors

شایان ذکر است که حدود یک ماه قبل هم مایکروسافت جزییات یک باج‌افزار مبتنی بر JRE با نام PonyFinal را به اشتراک گذاشت.

Tycoon و PonyFinal همچون باج‌افزارهای مطرحی همچون RobbinHood،وMaze،وVatet loader،وREvil – که با نام Sodinokibi نیز شناخته می‌شود –، NetWalker،وParadise،وRagnarLocker،وMedusaLocker و LockBit در کارزارهای موسوم به Human-operated منتشر می‌شوند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *