Neue Tycoon-Ransomware für mittelgroße Wild-Targeting-Operationen

Sicherheitsforscher mit BlackBerry Threat Intelligence und KMPG entdeckten eine plattformübergreifende Java-basierte Malware namens Tycoon Ransomware, mit der sowohl Windows- als auch Linux-Geräte verschlüsselt werden können. Es greift kleine mittelständische Unternehmen in der Software- und Bildungsbranche an. Wie aus dem Bericht hervorgeht, ist diese Malware seit Dezember 2019 aktiv. Eine begrenzte Anzahl von Menschen hat jedoch ein Opfer davon.

“Die Überlappung einiger E-Mail-Adressen sowie der Text des Lösegeldscheins und die Namenskonvention für verschlüsselte Dateien lassen auf eine Verbindung zwischen Tycoon und Dharma / CrySIS-Ransomware schließen”, stellten die Sicherheitsforscher fest.

Die Analyse der Forscher zur Ransomware fand im April 2020 statt. Sie stellten fest, dass der Tycoon-Virus auf eine Organisation abzielt, in der die Systemadministratoren ihr System blockiert haben. Die Angriffe werden auf ihrem Domänencontroller und den Dateiservern ausgeführt.

Bei der Inspektion der infizierten Systeme kommen die Forscher zu dem wichtigen Ergebnis, dass das Eindringen von Ransomware über einen mit dem Internet verbundenen RDP-Jump-Server erfolgte. Das Auffinden der Ransomware-Aktivitäten auf den infizierten Systemen ist jedoch möglich, da sie wiederhergestellt werden. Ihre Analyse auf den verschlüsselten Geräten enthüllt mehr über die Ransomware:

  • Die Injektion der Image File Execution Option wird verwendet, um die Persistenz über das System zu gewährleisten
  • Um den Zugriff auf infizierte Server zu verweigern, werden Active Directory-Kennwörter verwendet
  • Die Anti-Malware-Lösung ist bei Verwendung von ProcessHacker nicht aktiviert
  • Die Erpresser verschlüsseln alle gespeicherten Dateiserver und Netzwerksicherungen durch Bereitstellung des Java-Moduls

Die Tycoon-Ransomware verwendet Java JIMAGE, um benutzerdefinierte schädliche JRE-Builds zu erstellen, die mithilfe eines Shell-Skripts ausgeführt werden. Diese JRE-Builds enthalten sowohl eine Windows-Batchdatei als auch eine Linux-Shell. Dies lässt die Forscher sagen, dass die Ransomware sowohl auf Windows- als auch auf Linux-Geräte abzielt.

Das Entschlüsselungswerkzeug ist derzeit nicht verfügbar

Die Dateiverschlüsselung erfolgt mithilfe eines AES-256-Verschlüsselungsalgorithmus im Galois / Counter (GCM) -Modus3 mit einem 16 Byte langen GCM-Authentifizierungs-Tag. Die generierten AES-Schlüssel werden sicher auf einem Remote-Server gespeichert, der mit einem RSA-Algorithmus verschlüsselt ist. Daher erfordert die Entschlüsselung von Dateien einige eindeutige Schlüssel / Codes, die nur die Angreifer kennen.

Die Analysen zeigen, dass die Ransomware zuvor die Erweiterung .redrum verwendet, deren Entschlüsselung in Form des kostenlosen Entschlüsselungstools von Emssoft verfügbar ist. Die von den späteren Versionen dieser Ransomware verschlüsselten Dateien, die die Erweiterungen .grinch und .thanos verwenden, sind derzeit jedoch nicht möglich.