اكتشفت وحدة أبحاث الأمان في BlackBerry مؤخرًا برنامج فدية جديدًا أثر على معهد تعليمي أوروبي. على عكس معظم برامج الفدية المكتشفة حتى الآن ، تم تجميع وحدة برامج الفدية الجديدة هذه في تنسيق ملف صور جافا (JIMAGE .(JIMAGE هو تنسيق ملف يقوم بتخزين صور JRE المخصصة والتي تم تصميمها لاستخدامها بواسطة (Java Virtual Machine (JVM في وقت التشغيل.
وذكرت وحدة أبحاث الأمان في BlackBerry ، أنها لاحظت أن الجهات الفاعلة وراء التهديد من Tycoon تستخدم آليات تسليم عالية الاستهداف للتسلل إلى الشركات والمؤسسات الصغيرة والمتوسطة الحجم في صناعات التعليم والبرمجيات ، حيث سيشرعون في تشفير خوادم الملفات والمطالبة بفدية. ومع ذلك ، نظرًا لإعادة استخدام مفتاح RSA الخاص الشائع ، فقد يكون من الممكن استرداد البيانات دون الحاجة إلى الدفع في المتغيرات السابقة.
إليك كيفية حدوث الهجوم:
لتحقيق الثبات على آلة الضحية ، استخدم المهاجمون تقنية تسمى حقن خيارات تنفيذ ملف الصورة (IFEO). يتم تخزين إعدادات IFEO في سجل Windows. تتيح هذه الإعدادات للمطورين خيار تصحيح برامجهم من خلال إرفاق تطبيق تصحيح أثناء تنفيذ تطبيق مستهدف.
ثم تم تنفيذ باب خلفي بجانب ميزة Microsoft Windows On-Screen Keyboard (OSK) لنظام التشغيل.
عطل المهاجمون حل مكافحة البرامج الضارة للمؤسسة باستخدام الأداة المساعدة ProcessHacker وغيروا كلمات المرور لخوادم Active Directory. وهذا يجعل الضحية غير قادرة على الوصول إلى أنظمتها.
معظم ملفات المهاجمين تم تحديد وقتها ، بما في ذلك مكتبات جافا والبرنامج النصي للتنفيذ ، وكان لها طوابع زمنية لتاريخ الملف في 11 أبريل 2020 ، 15:16:22
أخيرًا ، نفذ المهاجمون وحدة Java ransomware ، لتشفير جميع خوادم الملفات بما في ذلك أنظمة النسخ الاحتياطي التي كانت متصلة بالشبكة.
بعد استخراج الملف المضغوط المرتبط ببرنامج الفدية ، هناك ثلاث وحدات باسم "قطب". لذلك ، قام فريق Blackberry بتسمية برنامج الفدية هذا باسم قطب. تحقق من مذكرة فدية قطب أدناه.
يبحث كتاب البرامج الضارة باستمرار عن طرق جديدة ومبتكرة للوصول الى الضحايا. إنهم يبتعدون ببطء عن التعتيم التقليدي ويتحولون إلى لغات برمجة غير شائعة وتنسيقات بيانات غامضة. لقد رأينا بالفعل زيادة كبيرة في برامج الفدية المكتوبة بلغات مثل Java و Go. هذه هي العينة الأولى التي تسيء استخدام تنسيق Java JIMAGE بشكل خاص لإنشاء بنية JRE خبيثة مخصصة.
كان برنامج الفدية الجديد Tycoon في البرية لمدة ستة أشهر على الأقل ، ولكن يبدو أن هناك عددًا محدودًا من الضحايا. هذا يشير إلى أن البرامج الضارة قد تكون مستهدفة بشكل كبير. قد يكون أيضًا جزءًا من حملة أوسع باستخدام العديد من حلول برامج الفدية المختلفة ، اعتمادًا على ما يعتبر أكثر نجاحًا في بيئات محددة.
للمزيد من التفاصيل حول برنامج الفدية Tycoon والشرح التفصيلي من هنا
ليست هناك تعليقات:
إرسال تعليق