Этот новый вымогатель Tycoon атакует Windows ПК

Уникально обнаруженный новый вымогатель Tycoon атакует Windows ПК, этот недавно идентифицированный вредоносный софт назван Tycoon по ссылкам, найденным в коде. Этот вымогатель Tycoon был впервые обнаружен в декабре 2019 года и, похоже, работает на киберпреступников, которые очень тщательно выбирают свои цели.

Этот недавно найденный вирус вымогателя Tycoon был разработан с таким продвинутым алгоритмом, что, используя эти необычные методы развертывания, он может оставаться скрытым в скомпрометированных сетях. Этот вредоносный софт был идентифицирован и объяснен исследователями из BlackBerry, которые работали с аналитиками безопасности в KPMG.

Этот новый вымогатель Tycoon атакует Windows ПК

Это феноменальный вид вымогателя, который написан на JAVA, который может быть развернут в вашей системе через Java Runtime Environment (JRE) и скомпилирован в изображение Java под названием Jimage, чтобы скрыть злонамеренные цели.

Это оба уникальных метода. Java очень редко используется для написания вредоносного ПО для конечных устройств, потому что для запуска кода требуется Java Runtime Environment. Файлы изображений редко используются для атак вредоносного ПО. Нападающие переходят на необычные языки программирования и неясные форматы данных. Здесь нападающим не нужно было скрывать свой код, но они все равно успешно достигли своих целей, вымогатель может быть реализован на языках высокого уровня, таких как Java, без обфускации и выполняться неожиданными способами.

Эрик Милам, вице-президент по исследованиям и аналитике в BlackBerry

Также читайте: Не обновляйтесь до обновления Windows 10 за май!

Как он атакует?

• Чтобы добиться устойчивости на машине жертвы, нападающие использовали метод, называемый инъекцией параметров выполнения файлов изображений (IFEO). Реестр Windows хранит настройки IFEO. Через эти настройки разработчики имеют возможность отлаживать программное обеспечение, прикрепляя приложение отладки во время выполнения целевого приложения.
• Затем была выполнена задняя дверь с помощью экранной клавиатуры Microsoft Windows.
• После этого нападающие изменяют пароль серверов Active Directory, отключая антивирусное решение организации с помощью утилиты Process Hacker.
• Это оставляет жертву беспомощной, и она не может получить доступ к своей системе.
• Большинство файлов кибератакующих были с метками времени, включая библиотеки Java и скрипты выполнения, все эти файлы имеют одну и ту же метку времени 11 апреля 2020 года в 15:16:22.
• В конечном итоге нападающие успешно выполнили последний модуль вымогателя Java Tycoon и зашифровали все файлы и модули сервера, включая всю резервную систему, связанную с сетью.

После установки этого вредоносного ПО в вашу систему, т.е. когда zip-файл, связанный с вымогателем, извлекается, тогда есть три модуля с именем “tycoon”. Вот почему BlackBerry назвал вредоносное ПО Tycoon Ransomware.

Также читайте: Нужен ли нам антивирус в повседневной жизни?

Вот заметка от новорожденного, но столь опасного вымогателя Tycoon:

Заключение

Чтобы предотвратить заражение системы пользователя таким вредоносным ПО, организациям следует убедиться, что они используют надежные пароли, а также убедиться, что учетные записи, которым нужны эти порты, не имеют стандартных учетных данных. Более того, немедленное применение всех обновленных и доступных патчей безопасности также может снизить риск, так как это заставит нападающих использовать уязвимости.

Также читайте: Почему антивирус лучше антивируса или наоборот?

[Источник], [По данным]