O ransomware Tycoon está perseguindo os sistemas Windows e Linux no que parece ser uma campanha direcionada e parece ser o trabalho de criminosos cibernéticos altamente seletivos. O malware também usa uma técnica de implantação incomum, que ajuda-o a ficar oculto em redes comprometidas.
Novo ransomware está direcionado para PCs com Linux e Windows
O Tycoon foi descoberto e detalhado por pesquisadores da BlackBerry que trabalham com analistas de segurança da KPMG. Ele é uma forma incomum de ransomware, porque é escrito em Java, implantado como Java Runtime Environment trojanizado e compilado em um arquivo de imagem Java (Jimage) para ocultar as intenções maliciosas.
Eric Milam, vice-presidente de pesquisa e inteligência da BlackBerry disse ao site ZDNET:
Esses dois métodos são únicos. O Java raramente é usado para escrever malware terminal, pois exige que o Java Runtime Environment possa executar o código. Os arquivos de imagem raramente são usados para ataques de malware.
Os invasores estão mudando para linguagens de programação incomuns e formatos de dados obscuros. Aqui, os invasores não precisavam obscurecer seu código, mas foram bem-sucedidos em atingir seus objetivos.
O Tycoon criptografa arquivos de rede
No entanto, o primeiro estágio dos ataques do Tycoon ransomware é menos incomum, com a invasão inicial por meio de servidores RDP inseguros voltados para a internet. Esse é um vetor de ataque comum para campanhas de malware e geralmente explora servidores com senhas fracas ou comprometidas anteriormente.
Os invasores usam privilégios para desativar o software antimalware usando o ProcessHacker para interromper a remoção do ataque.
Após a execução, o ransomware criptografa a rede com arquivos criptografados pelo Tycoon, com extensões como .redrum, .grinch e .thanos. Além disso, os atacantes exigem um resgate em troca da chave de descriptografia. Os atacantes pedem pagamento em bitcoin e afirmam que o preço depende da rapidez com que a vítima entra em contato por e-mail.
O fato de a campanha ainda estar em andamento sugere que aqueles que estão por trás dela estão obtendo sucesso extorquindo os pagamentos das vítimas.
Portanto, as organizações devem garantir que:
- como o RDP é um meio comum de comprometimento, as únicas portas voltadas para a internet devem ser as que exigem isso como uma necessidade absoluta;
- as contas que precisam acessar essas portas não usem credenciais padrão ou senhas fracas, que podem ser facilmente adivinhadas;
- sejam aplicados patches de segurança quando lançados;
- backup regularmente de sua rede (backup confiável) para que, se o pior acontecer, a rede possa ser restaurada sem ceder às demandas de criminosos cibernéticos.
FONTE: SEMPRE UPDATE