16.8 C
İstanbul
15/04/2024
Image default
HaberlerSiber SaldırılarZararlı Yazılım Analizleri

TYCOON RANSOMWARE!

Güvenlik uzmanları, Windows ve Linux kullanıcılarını hedeflemek için yeni bir çoklu platform Java fidye yazılımı olan “Tycoon” hakkında uyardılar.

Bilgisayar korsanlarının sürekli olarak veri ve bilgileri çalmak için veri merkezlerine veya normal kullanıcıların sistemlerine saldırmak için yeni yollar aradıklarını biliyoruz. Microsoft Windows en çok kullanılan işletim sistemi olduğundan, bilgisayar korsanları için doğal bir hedef haline gelmektedir. Bununla birlikte bilgisayar korsanları, macOS ve Linux gibi diğer işletim sistemlerine de giderek daha fazla önem vermektedirler. Bilgisayar korsanları, tüm büyük platformları etkileyen çok platformlu kötü amaçlı yazılım ve fidye yazılımlarına daha çok eğilim göstermektedirler.

BlackBerry Research and Intelligence Team’deki KPMG’nin İngiltere Siber Yanıt Hizmetleri’yle ilişkili güvenlik uzmanları, bu fidye yazılımını “Tycoon” olarak adlandırmaktadırlar. Ayrıca 2019’un sonundan itibaren faaliyet gösterdiğini belirttiler.

Tycoon Ransomware’in temel özelliği, Java programlama dilinde yazılmış bir fidye yazılımı olduğu için tüm Windows ve Linux kullanıcılarını eşit olarak etkileyebilmesidir.

Zararlı dosyayı açıldığında, Tycoon, Trojan çalıştıran değiştirilmiş bir ZIP dosyasının içine gizlenmektedir. Genellikle sistemlere sızmak için RDP sunucusunu ve savunmasız ağları kullanmaktadırlar.

Bilgisayar korsanı fidye yazılımını kurbanın sisteminde çalıştırmayı başardığında, Tycoon sistemde kalıcılık kazanmaya başlamaktadır ve bunu yapmak için Windows ekran klavyesi işlevinde bir IFEO (Görüntü dosyası yürütme seçenekleri) enjeksiyonu gerçekleştirmektedir. Ayrıca Active Directory parolasını da değiştirip hedef makinedeki virus koruma yazılımını da devre dışı bırakmaktadır. Ardından Procees Hacker yardımcı program aracını yüklemektedir. Tüm bu adımları tamamladıktan sonra, fidye yazılımı bilgisayarda ve ağ sürücülerinde bulunan tüm verileri şifrelemeye başlamaktadır.

Her şey yapıldıktan sonra, özel anahtarı (private key) otomatik olarak bilgisayar korsanına güvenli bir şekilde göndermektedir, daha sonra özel anahtarı kurbanın sisteminden silmektedir ve son olarak kurbana yazılımın sonucu hakkında mesaj iletilmektedir.

Tycoon fidye yazılımı ile şifrelenen dosyalar, şu ana kadar görülmeyen iki uzantıyla sonuçlanmaktadırlar. Bunlar, “.grinch ve .thanos” şeklindedir.

Başlangıçta, BlackBerry’deki güvenlik araştırmacıları, bir Avrupa Eğitim Enstitüsünün ağına saldırdıktan sonra fidye yazılımını tespit ettiler. Burada, saldırgan ağa Internet’e bağlı bir RDP atlama sunucusu (jump server) üzerinden eriştiğini ve kalıcı bir arka kapı (backdoor) açtıklarını tespit ettiler. Saldırganların, bırakılan arka kapıdan yedi gün sonra enstitünün ağına tekrar girdiklerini ifade ettiler.

Korunma Tedbirleri İçin

Kendimizi bu tür kötü amaçlı yazılım ve fidye yazılımlarından korumak için, her zaman en önemli dosyalarımızın yedeğine sahip olmalısınız. İşletim sistemimizi ve yüklü tüm programları güncel tutmak zorunluluktur.

Bunun dışında, hangi işletim sistemini kullanırsanız kullanın, Windows veya Linux için iyi bir antivirüs kullanmaya devam etmelisiniz. Bunun dışında, aynı zamanda çoğu kötü amaçlı yazılım içerdiğinden, varsayılan olarak internetten herhangi bir dosya indirirken de dikkatli olmalısınız.

Aşağıda, aşağıda belirtilen saldırganların kullandığı dosya uzantıları ve imzalar verilmiştir.

Dosya uzantıları:

  • thanos
  • grinch
  • redrum

Kriptolanmış dosya imzaları:

  • happyny3.1
  • redrum3_0

https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors

https://gbhackers.com/tycoon-ransomware/amp/

Related posts

WordPress PageLayer Eklentisinde kritik güvenlik açığı!

Serdar H.

TA551 (Shathak) IcedID Aktiviteleri

Mustafa Okay Maktav

Emotet, artık Microsoft Word’ü yükseltmenizi istiyor!

Yeşim Alan

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası