이 새로운 타이쿤 랜섬웨어가 윈도우 PC를 공격하고 있습니다

새롭게 발견된 타이쿤 랜섬웨어가 윈도우 PC를 공격하고 있으며, 이 새로 식별된 악성코드는 코드에서 발견된 참조에 따라 타이쿤이라는 이름이 붙여졌습니다. 이 타이쿤 랜섬웨어는 2019년 12월에 처음 발견되었으며, 목표를 선택하는 데 매우 신중한 사이버 범죄자들이 사용하는 것으로 보입니다.

이 새로 발견된 바이러스 타이쿤 랜섬웨어는 매우 진보된 알고리즘으로 설계되어 있어, 이러한 드문 배포 기술을 사용하여 손상된 네트워크에서 숨겨질 수 있습니다. 이 악성코드는 KPMG의 보안 분석가들과 협력하고 있는 블랙베리의 연구자들에 의해 식별되고 설명되었습니다.

이 새로운 타이쿤 랜섬웨어가 윈도우 PC를 공격하고 있습니다

이것은 JAVA로 작성된 놀라운 종류의 랜섬웨어로, Java Runtime Environment (JRE)를 통해 시스템에 배포될 수 있으며, 악의적인 목적을 숨기기 위해 Jimage라는 Java 이미지로 컴파일됩니다.

이 두 가지 방법은 독특합니다. Java는 코드 실행을 위해 Java Runtime Environment가 필요하기 때문에 엔드포인트 악성코드를 작성하는 데 매우 드물게 사용됩니다. 이미지 파일은 악성코드 공격에 거의 사용되지 않습니다. 공격자들은 드문 프로그래밍 언어와 불명확한 데이터 형식으로 이동하고 있습니다. 여기서 공격자들은 코드를 숨길 필요가 없었지만 여전히 목표를 달성하는 데 성공했습니다. 랜섬웨어는 Java와 같은 고급 언어로 난독화 없이 구현될 수 있으며 예상치 못한 방식으로 실행될 수 있습니다.

Eric Milam, 블랙베리 연구 및 정보 부사장

또한 읽기: Windows 10 5월 업데이트로 업데이트하지 마세요!

어떻게 공격하나요?

• 피해자의 기계에서 지속성을 달성하기 위해 공격자들은 이미지 파일 실행 옵션 (IFEO) 주입이라는 방법을 사용했습니다. Windows 레지스트리는 IFEO 설정을 저장합니다. 이러한 설정을 통해 개발자는 대상 응용 프로그램 실행 중에 디버깅 응용 프로그램을 첨부하여 소프트웨어를 디버깅할 수 있습니다.
• 그런 다음 Microsoft Windows 화면 키보드를 사용하여 백도어가 실행되었습니다.
• 이후 공격자들은 Process Hacker 유틸리티를 통해 조직의 안티멀웨어 솔루션을 비활성화하여 Active Directory 서버의 비밀번호를 변경했습니다.
• 이로 인해 피해자는 무력해지고 자신의 시스템에 접근할 수 없게 됩니다.
• 대부분의 사이버 공격자 파일에는 Java 라이브러리 및 실행 스크립트를 포함하여 타임스탬프가 찍혀 있으며, 모든 파일은 2020년 4월 11일 15:16:22의 동일한 타임스탬프를 가지고 있습니다.
• 결국 공격자들은 최신 Java 타이쿤 랜섬웨어 모듈을 성공적으로 실행하고 모든 서버 파일 및 모듈, 네트워크와 관련된 모든 백업 시스템을 암호화했습니다.

이 악성코드가 시스템에 설치되면, 즉 랜섬웨어와 관련된 zip 파일이 추출될 때 “타이쿤”이라는 세 개의 모듈이 있습니다. 그래서 블랙베리는 이 악성코드를 타이쿤 랜섬웨어라고 명명했습니다.

또한 읽기: 일상에서 안티바이러스가 필요합니까?

여기 새로 태어난 그러나 매우 위험한 타이쿤 랜섬웨어에 대한 주석이 있습니다:

마무리

사용자의 시스템을 이러한 악성코드로부터 보호하기 위해 조직은 강력한 비밀번호를 사용하고 이러한 포트를 필요로 하는 계정이 기본 자격 증명을 가지지 않도록 해야 합니다. 또한 즉시 모든 업데이트 및 사용 가능한 보안 패치를 적용하면 공격자들이 취약점을 이용하는 것을 줄일 수 있습니다.

또한 읽기: 안티멀웨어가 안티바이러스보다 더 필요한 이유 또는 그 반대?