La nueva variedad &#39Tycoon&#39 Ransomware apunta a Windows, Linux


Los investigadores dicen que el ransomware Tycoon, que se ha dirigido a program e instituciones educativas, tiene algunos rasgos que no habían visto antes.

Una forma recientemente descubierta de ransomware basado en Java se ha detectado en ataques activos y aparentemente dirigidos contra empresas de educación y computer software, informan investigadores de BlackBerry y KPMG. Esta variedad, denominada Tycoon, utiliza un oscuro formato de imagen Java para eludir las herramientas de seguridad.

El descubrimiento comenzó cuando se contactó al equipo de Servicios de Respuesta Cibernética del Reino Unido de KPMG para responder a un ataque dirigido contra una institución educativa. El equipo de investigación e inteligencia de BlackBerry, que trabaja con KPMG, analizó la amenaza. El ransomware Tycoon, dicen, se ha observado en la naturaleza desde diciembre de 2019 y se dirige tanto a máquinas Windows como Linux. Su recuento de víctimas es «limitado», dicen los investigadores, lo que sugiere que puede ser una amenaza altamente selectiva.

En este caso, un atacante se conectó al sistema de destino utilizando un servidor de Protocolo de escritorio remoto (RDP) en la red, luego localizó un objetivo y obtuvo las credenciales de administrador nearby. A partir de ahí, localizaron un objetivo y obtuvieron las credenciales de administrador area, instalaron el proceso de hacker como servicio y deshabilitaron el antivirus. Dejaron caer una puerta trasera para poder volver a entrar y se fueron.

Siete días después, el atacante se conectó a un servidor RDP y lo usó para moverse lateralmente a través de la crimson, haciendo conexiones RDP a múltiples sistemas. El análisis indica que las conexiones RDP se iniciaron manualmente para cada servidor, afirma el equipo de BlackBerry en una publicación de web site. El atacante luego ejecutó el proceso de hacker-as-a-support y deshabilitó el antivirus, luego ejecutó el ransomware. Sigue este mismo proceso para cada servidor infectado en la pink, y los archivos se cifran con extensiones que incluyen .thanos, .grinch y .redrum.

«Realmente entendieron el medio ambiente», dice Eric Milam, vicepresidente de Servicios de Guardia en Blackberry. «No es una sorpresa por qué eligieron el ransomware … (pudieron) causar la máxima cantidad de daño en las plataformas».

Una vez que establecieron un punto de apoyo en la organización objetivo, dice, fue «fuera de carrera». Después de una semana, los atacantes atacaron solo a los servidores principales con una clara indicación de paralizar la infraestructura y garantizar un pago de rescate.

Tycoon agrega un nuevo giro al ransomware
Tycoon se implementa como un entorno de tiempo de ejecución Java troyano (JRE) y se compila en un archivo de imagen Java (JIMAGE), un formato de archivo especial que almacena imágenes JRE personalizadas y está diseñado para ser utilizado por la máquina virtual Java (JVM) en tiempo de ejecución. JIMAGE contiene recursos y archivos de clase de todos los módulos Java que admiten la compilación JRE específica. A diferencia del formato Java Archive (JAR) más well known, JIMAGE es principalmente interno al Java Enhancement Package (JDK). Los desarrolladores rara vez lo usan.

«Debido a que JIMAGE es más utilizado internamente por Java, es una manera muy agradable de esconderse», dice Claudiu Teodorescu, director de operaciones de búsqueda de amenazas e inteligencia de BlackBerry, y señala que las empresas pueden asumir que la actividad proviene de un desarrollador interno. «Esta es una buena manera de ser sigiloso porque nadie mirará a JIMAGE y pensará que algo está mal».

El uso de un archivo JIMAGE es «completamente nuevo» para el ransomware, agrega Milam. JIMAGE normalmente no es analizado por antivirus y puede parecer un componente o biblioteca estándar en el SDK. «No hay muchas razones para cuestionarlo», dice. Los investigadores señalan que la construcción JRE maliciosa contiene versiones de Home windows y Linux de un script de shell que activa ese ransomware cuando se ejecuta, lo que sugiere que los servidores Linux también son objetivos.

Debido a que los atacantes usaron un algoritmo RSA asimétrico para cifrar las claves AES, el descifrado de archivos requiere obtener la clave RSA privada del atacante. Los investigadores señalan que algunas víctimas pueden no haber tenido que pagar: en un foro de BleepingComputer, una víctima de Tycoon publicó una clave RSA privada que presumiblemente provenía de un descifrador que compraron a los atacantes. Esta clave podría usarse para descifrar archivos infectados con la versión más antigua de Tycoon, que tenía una extensión .redrum.

Los investigadores también notaron una superposición entre Tycoon y el ransomware Dharma / CrySIS, en unique, las direcciones de correo electrónico, el texto de la nota de rescate y la convención de nomenclatura para archivos cifrados. Dharma / CrySIS apareció el año pasado y no desapareció, dice Teodorescu. Cuando Tycoon apareció en diciembre, los investigadores notaron la extensión .redrum, que también se observó en las campañas anteriores de Dharma / CrySIS. Al igual que Tycoon, Dharma / CrySIS explotó las débiles credenciales en RDP para entrar. Aunque no se mencionaba a Java en estos ataques, los atacantes también vivían en la tierra.

Los escritores de malware buscan constantemente nuevas formas de evadir la detección, afirman los investigadores en su entrada en el site. Ahora, dicen, los atacantes se están alejando de la ofuscación convencional y hacia lenguajes de programación poco comunes y formatos de datos oscuros. Observan un «aumento sustancial» en el ransomware escrito en Java, Go y otros idiomas.

Para las empresas que desean protegerse mejor contra Tycoon, Teodorescu aconseja primero asegurarse de que conocen su infraestructura: «Tenga una metodología clara de auditoría de credenciales, parchee su sistema operativo, parchee servidores net, (y) asegúrese de tener una metodología de ciber higiene implementada para su organización «, dice.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de personalized de Darkish Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policies & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia initial