باج افزار Tycoon باهدف رمزگذاری سیستم‌های ویندوز و لینوکس

به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی ZDNet، باج افزار جدید که از ماه دسامبر ۲۰۱۹ فعال بوده، Tycoon نام‌گرفته است. این باج افزار حاصل کار مجرمین سایبری است که قربانیان خود را بسیار هدفمند انتخاب می‌کنند. علاوه بر این، بدافزار Tycoon از یک روش استقرار غیرمعمول استفاده می‌کند که به پنهان ماندن آن در شبکه‌های مورد نفوذ کمک می‌کند.
اهداف اصلی Tycoon سازمان‌هایی در حوزه‌های آموزش و صنایع نرم‌افزاری هستند.
Tycoon توسط پژوهشگران BlackBerry کشف و مورد تحلیل و بررسی قرارگرفته است. این مورد یک نوع غیرعادی از باج‌افزارها است که با زبان جاوا نوشته‌شده، به‌عنوان یک Java Runtime Environment آلوده به تروجان مستقر می‌شود و برای مخفی کردن اقدامات مخرب خود در یک فایل تصویری جاوا (Jimage) کامپایل می‌شود.
به گفته پژوهشگران BlackBerry روش‌های استفاده‌شده توسط این باج افزار منحصربه‌فرد هستند. به دلیل اینکه جاوا برای اجرا نیاز به Java Runtime Environment دارد، از این زبان به‌ندرت به‌عنوان نقطه پایانی بدافزار استفاده می‌شود. همچنین از فایل‌های تصویری به‌ندرت برای حملات بدافزاری استفاده می‌شود.
مهاجمین به‌تازگی به سمت استفاده از زبان‌های برنامه‌نویسی غیرمعمول و فایل‌های مبهم هستند. در این کارزار، مهاجمین کد خود را مبهم‌سازی نکردند اما بااین‌وجود در تحقق اهداف خود موفق بودند.
بااین‌حال، مرحله اول حملات باج افزار Tycoon غیرعادی نیست و نفوذ اولیه آن از طریق سرورهای RDP ناامن صورت می‌گیرد. این نوع بردار حمله یک روش عادی برای کارزارهای بدافزاری است و در آن اغلب از سرورهایی با گذرواژه‌های ضعیف یا سرورهایی که قبلاً مورد نفوذ قرارگرفته‌اند، سوءاستفاده می‌شود.
مهاجمین پس از ورود به شبکه، با استفاده از تنظیمات Image File Execution Options که معمولاً برای اشکال‌زدایی توسط توسعه‌دهندگان نرم‌افزار بکار می‌رود، پایداری خود را حفظ می‌کنند. مهاجمین همچنین از دسترسی‌های خود برای غیرفعال کردن نرم‌افزارهای ضد بدافزار توسط ProcessHacker استفاده می‌کنند تا از حذف بدافزار خود جلوگیری کنند.
پس از اجرا، این باج افزار فایل‌های شبکه را رمزگذاری کرده و پسوندهایی ازجمله grinch، redrum و thanos  را به فایل‌ها اضافه می‌کنند. مهاجمین از قربانیان درخواست پرداخت بیت کوین می‌کنند که قیمت آن وابسته به‌سرعت ارسال ایمیل از طرف قربانی است.
پژوهشگران اشاره کردند كه Tycoon به دلیل شباهت‌های موجود در آدرس‌های ایمیل، نام فایل‌های رمزگذاری شده و متن یادداشت باج، به‌طور بالقوه می‌تواند با باج افزار Dharma - كه بانام Crysis نیز شناخته می‌شود - مرتبط باشد.
سازمان‌ها می‌توانند با بستن پورت‌های RDP در صورت عدم نیاز، اعمال گذرواژه‌های غیرقابل حدس و دشوار و همچنین پشتیبان‌گیری مداوم از فایل‌های شبکه از نفوذ این‌گونه باج‌افزارها جلوگیری کنند.
نشانه‌های آلودگی (IoC):

هش:

•    eddc۴۳ee۳۶۹۵۹۴ac۸b۰a۸a۰eab۶۹۶۰dba۸d۵۸c۰b۴۹۹a۵۱a۷۱۷۶۶۷f۰۵۵۷۲۶۱۷fb - JIMAGE module (lib\modules)

آدرس ایمیل:

•    pay۴dec[at]cock[.]lu

•    dataissafe[at]protonmail[.]com

•    dataissafe[at]mail[.]com

•    foxbit[at]tutanota[.]com

•    moncler[at]tutamail[.]com

•    moncler[at]cock[.]li

•    relaxmate[at]protonmail[.]com

•    crocodelux[at]mail[.]ru

•    savecopy[at]cock[.]li

•    bazooka[at]cock[.]li

•    funtik[at]tutamail[.]com

•    proff-mariarti[at]protonmail[.]com

پسوند فایل‌های رمز شده:

•    thanos

•    Grinch

•    redrum

امضا فایل‌های رمز شده:

•    happyny۳,۱

•    redrum۳_۰