Diese neue Tycoon-Ransomware greift Windows-PCs an

Eine neu entdeckte Tycoon-Ransomware greift Windows-PCs an, diese neu identifizierte Malware wird Tycoon genannt, nach Hinweisen, die im Code gefunden wurden. Diese Tycoon-Ransomware wurde erstmals im Dezember 2019 entdeckt und scheint für die Cyber-Mobster zu arbeiten, die bei der Auswahl ihrer Ziele sehr gewissenhaft sind.

Diese neu gegründete Virus-Tycoon-Ransomware wurde mit einem so fortschrittlichen Algorithmus entwickelt, dass sie durch die Verwendung dieser ungewöhnlichen Bereitstellungstechniken über kompromittierte Netzwerke verborgen bleiben kann. Diese Malware wurde von den Forschern bei BlackBerry identifiziert und erklärt, die mit Sicherheitsanalysten bei KPMG zusammenarbeiteten.

Diese neue Tycoon-Ransomware greift Windows-PCs an

Es handelt sich um eine phänomenale Art von Ransomware, die in JAVA geschrieben ist, die in Ihr System über die Java Runtime Environment (JRE) bereitgestellt werden kann und in einem Java-Bild namens Jimage kompiliert ist, um den böswilligen Zweck zu verbergen.

Dies sind beides einzigartige Methoden. Java wird sehr selten verwendet, um Endpoint-Malware zu schreiben, da es die Java Runtime Environment benötigt, um den Code auszuführen. Bilddateien werden selten für Malware-Angriffe verwendet. Angreifer wenden sich ungewöhnlichen Programmiersprachen und obskuren Datenformaten zu. Hier mussten die Angreifer ihren Code nicht verschleiern, waren jedoch dennoch erfolgreich bei der Erreichung ihrer Ziele. Ransomware kann in Hochsprachen wie Java ohne Obfuskation implementiert und auf unerwartete Weise ausgeführt werden.

Eric Milam, VP für Forschung und Intelligenz bei BlackBerry

Auch lesen: Aktualisieren Sie nicht auf das Windows 10 Mai-Update!

Wie greift es an?

• Um Ausdauer auf dem Computer des Opfers zu erreichen, verwendeten die Angreifer eine Methode namens Image File Execution Options (IFEO) Injection. Die Windows-Registrierung speichert die IFEO-Einstellungen. Durch diese Einstellungen haben Entwickler die Möglichkeit, die Software durch das Anfügen einer Debugging-Anwendung während der Ausführung einer Zielanwendung zu debuggen.
• Dann wurde ein Hintertür mit der Microsoft Windows Bildschirmtastatur ausgeführt.
• Danach änderten diese Angreifer das Passwort der Active Directory-Server, indem sie die Antimalware-Lösung der Organisation über das Process Hacker-Dienstprogramm deaktivierten.
• Dies lässt das Opfer hilflos zurück, und sie können nicht auf ihr eigenes System zugreifen.
• Die meisten Dateien der Cyber-Angreifer waren mit Zeitstempeln versehen, einschließlich der Java-Bibliotheken und der Ausführungsskripte, alle diese Dateien haben denselben Zeitstempel vom 11. April 2020 um 15:16:22.
• Schließlich führten die Angreifer erfolgreich das neueste Java-Tycoon-Ransomware-Modul aus und verschlüsselten alle Serverdateien und -module, einschließlich aller Sicherungssysteme, die mit dem Netzwerk verbunden waren.

Nachdem diese Malware in Ihr System installiert ist, d.h. wenn die ZIP-Datei extrahiert wird, die mit der Ransomware verbunden ist, gibt es dann drei Module mit dem Namen “tycoon”. Deshalb nannte Blackberry die Malware Tycoon Ransomware.

Auch lesen: Brauchen wir Antivirus in unserem täglichen Gebrauch?

Hier ist eine Notiz von der neugeborenen, aber so gefährlichen Tycoon-Ransomware:

Zusammenfassung

Um das System der Benutzer vor solcher Malware zu schützen, sollten Organisationen sicherstellen, dass sie starke Passwörter verwenden und auch sicherstellen, dass die Konten, die diese Ports benötigen, keine Standardanmeldeinformationen haben. Darüber hinaus kann das sofortige Anwenden aller aktualisierten und verfügbaren Sicherheitspatches das Risiko ebenfalls verringern, da dies Angreifer in Schwachstellen einführt.

Auch lesen: Warum Anti-Malware über Antivirus oder umgekehrt?

[ Quelle ], [ Über ]