El nuevo ransomware basado en Java apunta a servidores Home windows y Linux


Dirigido a pymes, instalaciones educativas y compañías de program, el ransomware aprovecha Java para cifrar archivos basados ​​en servidor, según BlackBerry y KPMG.

Los ciberdelincuentes siempre buscan nuevos trucos y técnicas para atacar a las posibles víctimas sin ser atrapados. Eso es especialmente cierto para los atacantes de ransomware que necesitan invadir sigilosamente la crimson de una organización para cifrar los archivos confidenciales que planean mantener como rehenes. Una nueva campaña de ransomware conocida como Tycoon está utilizando Java para atacar servidores Home windows y Linux. UNA informe publicado el jueves por el equipo de investigación e inteligencia de BlackBerry y los servicios de respuesta cibernética del Reino Unido de KPMG explican cómo se desarrolla este ataque.

Visto en la naturaleza desde al menos diciembre de 2019, Tycoon es un ransomware Java multiplataforma destinado a cifrar archivos en servidores Windows y Linux. Para tratar de evadir la exposición, Tycoon utiliza un oscuro formato de imagen Java conocido como JIMAGE, que almacena las imágenes de Java Runtime Surroundings (JRE) utilizadas por Java Virtual Machine (JVM) en tiempo de ejecución.

Específicamente, el ransomware Tycoon llega como un archivo ZIP que contiene una compilación JRE troyanizada. Aunque las muestras de ransomware anteriores se han escrito en Java, esta es la primera vista por BlackBerry y KPMG que abusa del formato Java JIMAGE para diseñar una compilación JRE personalizada y maliciosa.

VER: Ransomware: lo que los profesionales de TI necesitan saber (PDF gratuito) (TechRepublic)

Este ransomware está dirigido a pequeñas y medianas empresas, instituciones educativas y compañías de software. La infección inicial se develop a través de un RDP (Protocolo de escritorio remoto) con conexión a Online.
servidor de salto
, que es un sistema utilizado para administrar otros dispositivos a través de su propia zona segura. Después de atacar el controlador de dominio y los servidores de archivos, el legal bloquea a los administradores del sistema de sus máquinas.

Usando un diagrama, el informe explain cada fase del ataque:

  1. El atacante se conecta a los sistemas utilizando un servidor RDP en la red.
  2. El atacante encuentra un objetivo interesante y obtiene las credenciales para el administrador community.
  3. El atacante instala un proceso de «hacker como servidor» y luego deshabilita la seguridad antivirus neighborhood.
  4. El atacante deja caer una puerta trasera en el sistema comprometido y luego abandona la pink.
  5. El atacante se conecta a un servidor RDP y lo united states of america para moverse lateralmente a través de la red.
  6. El atacante inicia manualmente las conexiones RDP a cada servidor.
  7. El atacante ejecuta el proceso de piratería y deshabilita la protección de seguridad.
  8. El atacante ejecuta un archivo por lotes para iniciar el ransomware.
  9. El atacante sigue los mismos pasos para cada servidor de destino en la crimson.
ransomware-campaign-steps-blackberry-kpmg.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/06/04/4f81b633-ba8b-4a82-b71c-541fcdf95947/resize/770x /83c23a4079224ea76efa1c8366d64911/ransomware-campaign-steps-blackberry-kpmg.jpg

Imagen: BlackBerry y KPMG

Los archivos comprometidos se cifran utilizando un algoritmo AES-256 en Modo Galois / Contador (GCM) con una etiqueta de autenticación GCM de 16 bytes de longitud para garantizar la integridad de los datos. Al no cifrar ciertas partes de archivos más grandes, los atacantes pueden acelerar el proceso y al mismo tiempo inutilizar los archivos. Los archivos se cifran utilizando un algoritmo asimétrico de RSA. Como tal, descifrarlos requiere la clave RSA privada de 1024 bits del atacante, un proceso que exigiría una gran cantidad de potencia computacional.

Sobre el BleepingComputer discussion board, una de las víctimas del ransomware publicó una clave RSA privada que aparentemente provenía de un descifrador comprado a los atacantes. Esta clave fue capaz de descifrar los archivos afectados por una versión anterior del ransomware Tycoon que agregó la extensión .redrum a los archivos cifrados. Sin embargo, la clave no funciona para la versión «happyny3.1» más reciente de Tycoon, que agrega las extensiones .grinch y .thanos a los archivos cifrados.

Aunque Tycoon ha sido visto en la naturaleza durante unos seis meses, el número de víctimas parece ser limitado. Como tal, la campaña podría estar fuertemente dirigida solo a organizaciones específicas o podría ser parte de un ataque más grande usando diferentes tipos de ransomware.

Para protegerse del ransomware, las organizaciones deben protegerse y proteger sus datos antes de que ocurra un ataque. Sin embargo, ese proceso exige más que los métodos de seguridad habituales.

«Con el aumento constante de la amenaza del ransomware, la eficiencia de los parches, el computer software antivirus y la administración easy de puntos finales ya no son suficientes», dijo el vicepresidente de inteligencia de amenazas de BlackBerry, Eric Milam. «Los equipos de seguridad deben elegir (soluciones) que usen patrones basados ​​en firmas, análisis de comportamiento y aprendizaje automático, así como un sólido equipo de I + D detrás de ellos. Como un enfoque proactivo / de higiene cibernética, garantizar que todas las copias de seguridad se almacenen fuera del sitio, ya sea físico o en la nube soluciones, que pueden agregar una capa adicional de seguridad para identificar y prevenir el cifrado «.

Pero si ocurre un ataque de ransomware, hay formas en que las organizaciones pueden recuperarse de manera más efectiva y rápida.

«Las soluciones que permiten a los administradores congelar cuentas una vez que se detecta una infección de ransomware están por venir», dijo Milam. «Por usuario y por archivo infectado, la cuenta se puede revertir a un punto justo antes de que ocurriera la infección. De esa manera, no se pierden datos y no hay que pagar rescate. La infección simplemente se borra como si nunca sucedió. Ransomware o no, prácticas sólidas de protección de datos como estas resistirán la prueba del tiempo «.

Incluso si sus datos están encriptados por ransomware, tiene ciertas opciones.

«Hay muchos descifradores disponibles de forma pública y gratuita que trabajan con algunas de las familias de ransomware», dijo Milam. «En algunos casos, también podría ser posible recuperar parcialmente los archivos usando el computer software de recuperación de archivos. Si no tiene copias de seguridad o formas de restaurar los datos (descifradores / herramientas de recuperación de datos disponibles públicamente), sobre todo, traiga expertos que están acostumbrados a lidiar con estas situaciones. No quiere insultar a las lesiones para pagar el rescate y aún no obtener los datos «.

Finalmente, ¿debería una organización considerar pagar el rescate?

«Como cuestión de principio, la comunidad de seguridad no recomienda pagar a los ciberdelincuentes, simplemente porque hacerlo justifica e impulsa el negocio del ransomware», dijo Milam. «Sin embargo, entendemos que en algunos de los ataques altamente selectivos y más dañinos (por ejemplo, en infraestructura crítica o proveedores de atención médica), podría no haber otra forma de recuperar y preservar la vida humana, sino satisfacer las demandas de rescate. Dado que el individuo los casos y las circunstancias varían drásticamente, no existe una regla de oro. Sin embargo, en cualquier escenario, las víctimas deben trabajar estrechamente con las fuerzas del orden y hacer todo lo posible para ayudar con la investigación «.

Ver también

Concepto de seguridad informática y piratería. El virus Ransomware tiene datos cifrados en la computadora portátil. Hacker está ofreciendo clave para desbloquear datos cifrados por dinero. "Src =" https://tr2.cbsistatic.com/hub/i/r/2019/06/14/6e2c3960-62f9-4a00-bccd-e40f48f29939/resize/770x /b434879143949857e3b22eb3f144e7a2/istock-684726904.jpg

Imagen: iStockphoto / vchal



Enlace a la noticia primary