Nuevo ransomware Tycoon en operaciones de tamaño medio con objetivos salvajes

Investigadores de seguridad con BlackBerry Threat Intelligence y KMPG descubrieron un malware multiplataforma basado en Java llamado Tycoon ransomware, que se puede usar para cifrar dispositivos Windows y Linux. Ataca pequeñas operaciones medianas en las industrias de software y educación. Como dice el informe, este malware ha estado activo desde diciembre de 2019. Pero un número limitado de personas es víctima de esto.

“La superposición en algunas de las direcciones de correo electrónico, así como el texto de la nota de rescate y la convención de nomenclatura utilizada para archivos cifrados, sugiere una conexión entre Tycoon y el ransomware Dharma / CrySIS”, encontraron los investigadores de seguridad.

El análisis de los investigadores sobre el ransomware tuvo lugar en abril de 2020. Descubrieron que el virus Tycoon se dirige a una organización, donde los administradores del sistema han bloqueado su sistema. Los ataques se realizan en su controlador de dominio y en los servidores de archivos.

En la inspección de los sistemas infectados, los investigadores llegan a un resultado importante de que la intrusión del ransomware se produjo a través de un servidor de salto RDP con conexión a Internet. Sin embargo, encontrar las actividades de ransomware en los sistemas infectados es posible porque se restauran. Su análisis en los dispositivos encriptados revela más sobre el ransomware:

  • La inyección de la opción de ejecución de archivos de imagen se utiliza para ganar persistencia en el sistema
  • Para denegar el acceso a servidores infectados, se utilizan contraseñas de Active Directory
  • La solución antimalware no está habilitada cuando se utiliza ProcessHacker
  • Los extorsionistas encriptan todos los servidores de archivos almacenados y las copias de seguridad de la red mediante la implementación del módulo Java

El ransomware Tycoon usa Java JIMAGE para crear compilaciones JRE maliciosas personalizadas ejecutadas con la ayuda del script de shell. Estas compilaciones de JRE contienen tanto un archivo por lotes de Windows como un shell de Linux, lo que hace que los investigadores digan que el ransomware se dirige a dispositivos Windows y Linux.

La herramienta de descifrado no está disponible actualmente

El cifrado de archivos se realiza utilizando un algoritmo de cifrado AES-256 en modo Galois / Counter (GCM) 3 con una etiqueta de autenticación GCM de 16 bytes de longitud. Las claves AES generadas se guardan de forma segura en algún servidor remoto cifrado con algún algoritmo RSA. Por lo tanto, el descifrado de archivos requiere algunas claves / códigos únicos que solo los atacantes conocen.

Los análisis muestran que anteriormente el ransomware usa la extensión .redrum, cuyo descifrado está disponible en forma de la herramienta de descifrado gratuita de Emssoft. Sin embargo, los archivos encriptados por las versiones posteriores de este ransomware que usan los extensioms .grinch y .thanos actualmente no son posibles.