この新しいタイクーンランサムウェアがWindows PCを攻撃

新たに発見されたタイクーンランサムウェアがWindows PCを攻撃しています。この新たに特定されたマルウェアは、コード内で見つかった参照に基づいてタイクーンと名付けられました。このタイクーンランサムウェアは2019年12月に初めて発見され、ターゲットを選ぶ際に非常に慎重なサイバー犯罪者によって使用されているようです。

この新たに発見されたウイルスのタイクーンランサムウェアは、非常に高度なアルゴリズムで設計されており、珍しい展開技術を使用することで侵害されたネットワーク上に隠れることができます。このマルウェアは、KPMGのセキュリティアナリストと協力していたBlackBerryの研究者によって特定され、説明されました。

この新しいタイクーンランサムウェアがWindows PCを攻撃

これは、JAVAで書かれた驚異的な種類のランサムウェアで、Java Runtime Environment (JRE)を介してシステムに展開され、悪意のある目的を隠すためにJimageと呼ばれるJavaイメージにコンパイルされています。

これらはどちらも独自の方法です。Javaはエンドポイントマルウェアを書くために非常にまれに使用されます。なぜなら、コードを実行するためにはJava Runtime Environmentが必要だからです。イメージファイルはマルウェア攻撃に使用されることはまれです。攻撃者は、珍しいプログラミング言語や不明瞭なデータ形式にシフトしています。ここでは、攻撃者はコードを隠す必要はありませんでしたが、それでも目標を達成することに成功しました。ランサムウェアは、Javaのような高水準言語で難読化なしに実装され、予期しない方法で実行されることがあります。

Eric Milam, BlackBerryの研究およびインテリジェンス担当VP

また読む: Windows 10の5月の更新にアップデートしないでください！

どのように攻撃するのか？

• 被害者のマシンでの持続性を達成するために、攻撃者はImage File Execution Options (IFEO)インジェクションと呼ばれる方法を使用しました。WindowsレジストリはIFEO設定を保存します。これらの設定を通じて、開発者はターゲットアプリケーションの実行中にデバッグアプリケーションを添付してソフトウェアをデバッグする選択肢を持っています。
• その後、Microsoft Windowsのオンスクリーンキーボードを使用してバックドアが実行されました。
• これらの後、攻撃者はProcess Hackerユーティリティを通じて組織のアンチマルウェアソリューションを無効にすることでActive Directoryサーバーのパスワードを変更しました。
• これにより、被害者は無力になり、自分のシステムにアクセスできなくなります。
• サイバー攻撃者のファイルのほとんどには、Javaライブラリや実行スクリプトを含むタイムスタンプが付けられており、すべてのファイルは2020年4月11日15:16:22の同じタイムスタンプを持っています。
• 最終的に、攻撃者は最新のJavaタイクーンランサムウェアモジュールを正常に実行し、ネットワークに関連するすべてのバックアップシステムを含むすべてのサーバーファイルとモジュールを暗号化しました。

このマルウェアがシステムにインストールされると、つまりランサムウェアに関連するzipファイルが抽出されると、「tycoon」という名前の3つのモジュールがあります。だからBlackBerryはこのマルウェアをタイクーンランサムウェアと名付けました。

また読む: 日常的にアンチウイルスは必要か？

ここに、新生でありながら非常に危険なタイクーンランサムウェアからのメモがあります：

まとめ

ユーザーのシステムをこのようなマルウェアから守るために、組織は強力なパスワードを使用していることを確認し、これらのポートが必要なアカウントにはデフォルトの資格情報がないことを確認する必要があります。さらに、すべての更新されたセキュリティパッチを直ちに適用することもリスクを減少させることができます。これを行うことで、攻撃者を脆弱性に引き込むことになります。

また読む: アンチマルウェアがアンチウイルスよりも重要な理由、またはその逆？

[ 出典 ], [ 経由 ]