Tycoon, nouveau logiciel ransomware pour Windows et Linux
Ce nouveau ransomware utilise une technique inhabituelle qui lui permet de passer inaperçu. Cette campagne est très ciblée et semble être en cours en ce moment.
Une nouvelle forme de logiciel d'échange qui a récemment été trouvée pour attaquer les systèmes Windows et Linux dans des campagnes qui semblent ciblées.
Cette exportation de logiciel, appelée tycoon selon la référence du code, est active depuis décembre 2019 et semble être l'œuvre de nombreux cybercriminels sélectifs dans leur alignement. Les logiciels malveillants utilisent également des techniques de déploiement inhabituelles qui leur permettent de rester cachés dans les réseaux vulnérables.
Le principal objectif de Tycoon est les organisations éducatives et logicielles.
Un ransomware qui exploite Java
Tycoon a été découvert, analysé et expliqué par des chercheurs de BlackBerry en collaboration avec l'analyste de sécurité KPMG. Ce formulaire est inhabituel pour les ransomwares car il est écrit en Java, intégré en tant que cheval de Troie dans le runtime Java, puis compilé dans un fichier image Java (Jimage) pour masquer les intentions malveillantes.
"Ces deux méthodes sont uniques. Java est très rarement utilisé pour écrire des logiciels malveillants dans les terminaux, car le code nécessite un environnement d'exécution Java pour exécuter le code. Les fichiers image sont rarement utilisés pour attaquer les logiciels malveillants", a déclaré Eric Milam, vice-président de la recherche et du renseignement. chez BlackBerry, ZDNet.
"Les attaquants passent à des langages de programmation inhabituels et à des formats de données peu clairs. Les attaquants n'ont pas besoin de cacher leur code ici pour atteindre leurs objectifs", a-t-il ajouté.
Au cours de l'attaque
Cependant, la première phase de l'attaque du ransomware Tycoon est moins inhabituelle: la première invasion a lieu via un serveur RDP non protégé. Il s'agit d'un simple vecteur d'attaque pour les campagnes de logiciels malveillants qui utilisent généralement des serveurs avec des mots de passe faibles ou risqués.
Une fois en ligne, les attaquants utilisent le paramètre d'injection IFEO (File File Execution Options), que la plupart des développeurs peuvent utiliser pour déboguer un logiciel pour le maintenir en place. Ils utilisent également l'autorisation d'utiliser ProcessHacker pour désactiver l'anti-malware et empêcher que leurs attaques ne soient empêchées.
Une fois exécuté, le ransomware crypte les réseaux et les fichiers à l'aide d'extensions Tycoon spéciales telles que. Redrum, .grinch et .thanos. L'attaquant a demandé une rançon en échange de la clé de déchiffrement. Le paiement doit être effectué en bitcoin, et le prix dépend de la vitesse du contact de la victime par e-mail.
Tycoon peut provenir d'une famille du Dharma
Le fait que la campagne soit toujours en cours montre que les auteurs ont réussi à extorquer des paiements aux victimes.
Les chercheurs ont suggéré qu'en raison des similitudes dans les adresses e-mail, les noms de fichiers cryptés et le texte des notes d'échange, le magnat a le potentiel d'être associé à une autre forme de rançon, Dharma - également connue sous le nom de Crysis. ,, ,,.
Mais bien que les magnats, comme d'autres formes de rançon, aient des moyens uniques de déclencher des infections, ils peuvent être évités jusqu'à présent.
Comment éviter ce type d'attaque?
Étant donné que RPD est un facteur courant de compromission des réseaux, les organisations peuvent garantir que seuls les ports connectés nécessitent une connexion Internet.
Vous devez également vous assurer que les comptes qui ont accès à ce port n'utilisent pas d'informations d'identification standard ou de mots de passe faibles ou mal connus, car c'est une autre façon de pénétrer le réseau. ,, ,,.
L'installation de correctifs de sécurité lorsqu'ils sont disponibles est également un bon moyen de prévenir les attaques, en particulier les ransomwares, car les criminels ne peuvent pas exploiter certaines vulnérabilités. Vous devez également vous assurer que vous sauvegardez régulièrement votre réseau - et la fiabilité de cette sauvegarde. Dans le pire des cas, le réseau peut être reconstruit relativement rapidement sans avoir à céder aux demandes des cybercriminels.