Windows ve Linux Sistemlerini Bekleyen Tehlike:Tycoon!!!


Bu yeni fidye yazılımı, ‘benzersiz’ bir saldırı ile Windows ve Linux PC’leri hedefliyor. Araştırmacılar, mümkün olduğunca saldırı tespit sistemlerini atlatıcak şekilde tasarlanmış gibi görünen Tycoon ransomware’in olağandışı çalışmalarını detaylandırıyor.

Yeni ortaya çıkarılan bir fidye yazılımı formu, hedeflenen bir kampanya gibi görünen Windows ve Linux sistemlerinden sonra gidiyor. Koddaki referanslardan sonra Tycoon olarak adlandırılan bu fidye yazılımı Aralık 2019’dan beri aktiftir ve hedeflemelerinde son derece seçici olan siber suçluların çalışması gibi görünüyor. Kötü amaçlı yazılım ayrıca güvenliği ihlal edilmiş ağlarda gizli kalmaya yardımcı olan nadir bir dağıtım tekniği kullandığı düşünülmekte. Tycoon’un ana hedefleri eğitim ve yazılım endüstrilerindeki organizasyonlarda daha etkin olduğu görülüyor. Tycoon, KPMG’de güvenlik analistleriyle çalışan BlackBerry’deki araştırmacılar tarafından ortaya çıkarıldı ve detaylandırıldı. Java’da yazılmış, truva atı formunda Java RunTime olarak konuşlandırıldığı ve kötü niyetli niyetleri gizlemek için bir Java görüntü dosyasında (Jimage) derlendiği için alışılmadık bir fidye yazılımı biçimi olduğu gelen haberler arasında.


Araştırmacılar analiz ettikleri bulgulara dayanarak yaptıkları açıklamada “Bunların her ikisi de benzersiz yöntemler. Java çok nadiren uç nokta kötü amaçlı yazılım yazmak için kullanılır, çünkü Java Runtime Environment programının kodu çalıştırabilmesini gerektirir. Görüntü dosyaları kötü amaçlı yazılım saldırıları için nadiren kullanılır. ” diyerek konunun önemine dikkat çekmekteler.BlackBerry’de araştırma ve istihbarat sorumlusu Eric Milam ZDNet’e verdiği demeçte. “Saldırganlar alışılmadık programlama dillerine ve belirsiz veri formatlarına doğru kayıyorlar. Burada, saldırganların yine de hedeflerini gerçekleştirmede kodlarının başarılı olduğunu görebilmekteyiz ”dedi. Ancak, Tycoon ransomware genel olarak ilk aşama saldırılarında ilk saldırı vektörü güvenli olmayan Internet’e bakan RDP sunucuları aracılığıyla gerçekleşir. Bu, kötü amaçlı yazılım kampanyaları için yaygın bir saldırı vektörüdür ve genellikle zayıf veya daha önce güvenliği ihlal edilmiş şifreleri olan sunucuları kullanır.

Ağa girdikten sonra saldırganlar, geliştiricilere yazılımda hata ayıklama yeteneği sağlayan Görüntü Dosyası Yürütme Seçenekleri (IFEO) enjeksiyon ayarlarını kullanarak kalıcılığını korur. Saldırganlar ayrıca saldırılarının kaldırılmasını durdurmak için ProcessHacker kullanarak kötü amaçlı yazılımdan koruma yazılımını devre dışı bırakmak için ayrıcalıklar kullanır. Milam, “Fidye yazılımları gizlilik olmadan Java gibi üst düzey dillerde uygulanabilir ve beklenmedik şekillerde yürütülebilir” dedi. Yürütmeden sonra, fidye yazılımı ağı .redrum, .grinch ve .thanos gibi uzantılar verilen Tycoon tarafından şifrelenen dosyalarla şifreler ve saldırganlar şifre çözme anahtarı karşılığında bir fidye talep eder. Saldırganlar bitcoin cinsinden ödeme talep ederek fiyatın mağdurun e-posta yoluyla ne kadar çabuk temas kurduğuna bağlı olduğunu iddia ediyor. Kampanyanın halen devam etmesi, arkasından gelenlerin mağdurlardan ödeme zorlayarak başarılı bulduklarını göstermektedir. Araştırmacılar, Tycoon’un e-posta adreslerindeki benzerlikler, şifrelenmiş dosyaların adları ve fidye notunun metni nedeniyle başka bir fidye yazılımı biçimine (Crysis olarak da bilinir) bağlanabilir.


Tycoon, diğer fidye yazılımları gibi bir enfeksiyonu yürütmek için bazı benzersiz araçlara sahip olsa da, bu kadar ilerlemesini önlemek mümkündür. RDP yaygın bir bağlantı aracı olduğundan, kuruluşlar internete bakan bağlantı noktalarına erişmesi gereken hesapların, içeri girmenin bir yolu olarak kolayca tahmin edilebilecek varsayılan kimlik bilgilerini veya zayıf şifreleri kullanmadığından emin olmalıdır. Güvenlik yamalarını yayımlandıklarında uygulamak, suçluların bilinen güvenlik açıklarından yararlanmalarını engellediğinden, birçok fidye yazılımı saldırısını da önleyebilir.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!