حذر خبراء الأمن من سلالة جديدة من برمجية فدية خبيثة تستهدف أنظمة لينكس Linux وويندوز Windows عبر عدد من الصناعات.
و تم اكتشاف هذه السلالة من قبل فريق بلاك بيري للبحث والذكاء BlackBerry Research and Intelligence Team بالاشتراك مع خدمات الاستجابة الرقمية البريطانية التابعة لشركة KPMG ، حيث أطلقوا عليها الاسم تايكون Tycoon
وتعمل هذه البرمجية الخبيثة من خلال هجمات مستهدفة بشكل كبير الشركات الصغيرة والمتوسطة في صناعات البرامج والتعليم.
و تعد هذه البرمجية أكثر خطورة ، لأنها لا تؤثر فقط على عائلة واحدة من الأجهزة ، ولكن تؤثر على كل من نظامي تشغيل ويندوز Windows ولينوكس Linux ، والتي يتم استخدامها على نطاق واسع عبر الصناعات المستهدفة.
و قد لاحظ الفريق أن البرمجية الخبيثة Tycoon يتم نشرها يدوياً على ما يبدو ، حيث يقوم المشغلون باستهداف الأنظمة الفردية وربط خادم RDP.
و بمجرد تحديد الهدف والتسلل إليه باستخدام بيانات اعتماد المسؤول المحلي ، يقوم المهاجم بتعطيل مضاد الفيروسات وتثبيت أداة معالجة القراصنة ProcessHacker كخدمة.
وتأخذ برمجية الفدية هذه شكل Java Runtime Environment (JRE) ، والذي يتهرب من الكشف عن طريق النسخ الخفي عبر تنسيق صورة جافا غامض ، و من ثم يتم تخزين إعدادات خيارات تنفيذ ملف الصورة (IFEO) في سجل Windows ، وذلك يبدو من أجل منح المطورين خيار تصحيح برامجهم عبر إرفاق تطبيق تصحيح أثناء تنفيذ التطبيق مستهدف.
وبمجرد تنفيذ برمجية الفدية على النظام ، ستقوم بتشفير خوادم الملفات ، ومن ثم تطلب فدية من الضحايا ، و أشار الباحثون في بلاك بيري BlackBerry إلى أن بناء JRE الخبيث المستخدم يدعم كلاً من إصدارات ويندوز Windows ولينوكس Linux ، مما يشير إلى أن المهاجمين يريدون استهداف أنظمة وخوادم متعددة .
و قالت بلاك بيري BlackBerry في مدونة كتبتها لشرح النتائج: “يبحث مطوري البرمجيات الخبيثة باستمرار عن طرق جديدة للطيران تحت الرادار”. و أضافت ” إنهم يبتعدون ببطء عن التشويش التقليدي ويتحولون إلى لغات برمجة غير شائعة وتنسيقات بيانات غامضة “
و تتابع في شرح الموجودات حيث قالت : ” لقد رأينا بالفعل زيادة كبيرة في برامج الفدية المكتوبة بلغات مثل جافا Java و Go. لكن هذه هي العينة الأولى التي واجهناها والتي تستغل على وجه التحديد تنسيق Java JIMAGE لإنشاء بنية JRE خبيثة مخصصة. “
و بحسب المدونة نفسها فإن الفريق يعتقد أن البرمجية الخبيثة Tycoon موجودة منذ مدة ستة أشهر على الأقل ، ولكن يبدو أن هناك عدداً محدوداً فقط من الضحايا. وهذا يشير إلى أن هذه البرمجية يمكن أنها تستخدم بشكل موجه جداً ، أو قد تكون أيضاً جزءاً من حملة أوسع باستخدام العديد من مفترحات برمجيات الفدية المختلفة ، اعتماداً على ما يعتبر أكثر نجاحاً في بيئات معينة. “