Siber suçlular, potansiyel kurbanları yakalanmadan hedef almak için sürekli yeni teknikler geliştiriyor. Bu durum, bir organizasyonun ağına girip buradaki hassas dosyaları şifreleyerek adeta rehin alan fidye yazılımı saldırganları için özellikle geçerli. 'Tycoon' adı verilen yeni bir fidye yazılımı, Java kullanarak Windows ve Linux sunucularını hedef alıyor. BlackBerry Araştırma ve İstihbarat Ekibi ile KPMG İngiltere Siber Müdahale Hizmetleri tarafından yayınlanan rapor, bu saldırıların nasıl düzenlendiğine ışık tutuyor.
Geçen aralık ayından bu yana görülen Tycoon, çok platformlu bir Java fidye yazılımı ve hedefi Windows ve Linux sunucularındaki dosyalar. Tycoon, açığa çıkmaktan kurtulmak için pek bilinmeyen bir Java görüntü formatı olan JIMAGE'ı kullanıyor. JIMAGE, işleyişi esnasında Java Virtual Machine (JVM) tarafından kullanılan Java Runtime Environment (JRE) görüntülerini depoluyor. Özel olarak Tycoon fidye yazılımı, virüslü JRE derlemesini içeren bir ZIP dosyası olarak geliyor. Fidye yazılımları daha önce de Java kullanmış olsa da bu seferki Java'da JIMAGE formatını kullanarak kişiselleştirilmiş ve kötü niyetli bir JRE derlemesiyle ilk kez karşılaşılıyor.
Hedefte şirketler ve eğitim kurumları var:
Fidye yazılımının küçük ve orta ölçekteki şirketleri, eğitim kurumlarını ve yazılım şirketlerini hedef aldığı görülüyor. İlk bulaşma, internete bağlı bir RDP (Remote Desktop Protocol – Uzak Masaüstü Protokolü) sunucusu aracılığıyla gerçekleşiyor. Bu sistem, kendi güvenli bölgesi aracılığıyla diğer cihazların kontrol edilmesinde kullanılıyor. Alan adı kontrol birimine ve dosya sunucularına saldırdıktan sonra hackerlar, sistem yöneticilerini kendi makinelerinin dışında bırakıyor.
Sonrasında 'sunucu olarak hacker', sürecini başlatıp yerel antivirüs güvenliğini devre dışı bırakan saldırganlar, gizliliği ihlal edilmiş sisteme bir arka kapı bırakıyor ve ağdan ayrılıyor. Saldırgan, daha sonra bir RDP sunucusuna bağlanıyor ve onu ağda yatay olarak hareket ettirmek için kullanıyor. Her sunucuda manuel olarak RDP bağlantısı başlatan hacker, süreci işleterek güvenlik korumasını devre dışı bırakıyor ve fidye yazılımını başlatmak için bir yığın dosyası çalıştırıyor.
Gizliliği ihlal edilen dosyaların, Galois/Counter (GCM) modunda veri bütünlüğünü sağlamak amacıyla 16 Byte uzunluğundaki GCM kimlik doğrulama etiketiyle birlikte ES-256 algoritmasıyla şifrelendiği belirtiliyor. Saldırganlar, daha büyük dosyaların belirli parçalarını şifrelemeyerek süreci hızlandırırken yine de dosyaları kullanılamaz hâle getirmeyi başarıyor. Dosyalar, asimetrik RSA algoritması kullanılarak şifreleniyor. Böylece bu şifreleri kırmak için saldırganın özel RSA anahtarına gereksinim duyuluyor ki bunu bulmak için devasa boyutlarda hesaplama gücü gerekiyor.
Tycoon yaklaşık 6 aydır piyasada olsa da bu saldırılardan etkilenenlerin sayısının sınırlı olduğu belirtiliyor. Bu durumda saldırılar, ya belirli organizasyonlara yöneldi ya da farklı tipte fidye yazılımların kullanıldığı daha büyük saldırının bir parçası.