Nouveau ransomware Tycoon en mode sauvage ciblant les opérations de taille moyenne

Des chercheurs en sécurité avec BlackBerry Threat Intelligence et KMPG ont découvert un logiciel malveillant multi-plateforme basé sur Java nommé Tycoon ransomware – qui peut être utilisé pour crypter les appareils Windows et Linux. Il attaque les petites opérations de taille moyenne dans les industries du logiciel et de l’éducation. Comme le dit le rapport, ce malware est actif depuis décembre 2019. Mais un nombre limité de personnes en sont victimes.

« Le chevauchement de certaines adresses e-mail, ainsi que le texte de la note de rançon et la convention de dénomination utilisée pour les fichiers cryptés, suggèrent une connexion entre Tycoon et le rançongiciel Dharma / CrySIS », ont déclaré les chercheurs en sécurité.

L’analyse des chercheurs sur le rançongiciel a eu lieu en avril 2020. Ils ont découvert que le virus Tycoon cible une organisation, où les administrateurs système ont bloqué leur système. Les attaques sont effectuées sur leur contrôleur de domaine et les serveurs de fichiers.

En inspectant les systèmes infectés, les chercheurs arrivent à un résultat important: l’intrusion du ransomware s’est produite via un serveur de saut RDP Internet. Cependant, il est possible de trouver les activités du rançongiciel sur les systèmes infectés car elles sont restaurées. Leur analyse sur les appareils cryptés en révèle plus sur le ransomware:

  • L’injection de l’option d’exécution du fichier image est utilisée pour gagner en persistance sur le système
  • Pour refuser l’accès aux serveurs infectés, des mots de passe Active Directory sont utilisés
  • La solution anti-malware n’est pas activée lors de l’utilisation de ProcessHacker
  • Les extorqueurs chiffrent tous les serveurs de fichiers stockés et les sauvegardes réseau en déployant le module Java

Le ransomware Tycoon utilise Java JIMAGE pour créer des builds JRE malveillants personnalisés exécutés à l’aide d’un script shell. Ces builds JRE contiennent à la fois un fichier batch Windows et un shell Linux – cela fait dire aux chercheurs que le ransomware cible à la fois les périphériques Windows et Linux.

L’outil de déchiffrement n’est pas disponible actuellement

Le cryptage des fichiers est effectué à l’aide d’un algorithme de cryptage AES-256 en mode Galois / Counter (GCM) 3 avec une balise d’authentification GCM de 16 octets. Les clés AES générées sont conservées en toute sécurité sur un serveur distant crypté avec un algorithme RSA. Ainsi, le décryptage des fichiers nécessite des clés / codes uniques que seuls les attaquants connaissent.

Les analyses montrent que le ransomware utilisait auparavant l’extension .redrum – dont le décryptage est disponible sous la forme de l’outil de décryptage gratuit d’Emssoft. Cependant, les fichiers chiffrés par les versions ultérieures de ce ransomware qui utilisent les extensions .grinch et .thanos ne sont actuellement pas possibles.