Nuovo ransomware Tycoon in operazioni di dimensioni medie mirate selvaggiamente

I ricercatori della sicurezza con BlackBerry Threat Intelligence e KMPG hanno scoperto un malware multipiattaforma basato su Java chiamato Tycoon ransomware, che può essere utilizzato per crittografare sia i dispositivi Windows che Linux. Attacca le operazioni di piccole e medie dimensioni nell’industria del software e dell’istruzione. Come dice il rapporto, questo malware è attivo da dicembre 2019. Ma un numero limitato di persone ne è vittima.

“La sovrapposizione di alcuni degli indirizzi e-mail, così come il testo della nota di riscatto e la convenzione di denominazione utilizzata per i file crittografati, suggerisce una connessione tra Tycoon e ransomware Dharma / CrySIS”, hanno detto i ricercatori della sicurezza.

L’analisi dei ricercatori sul ransomware ha avuto luogo nell’aprile 2020. Hanno scoperto che il virus Tycoon prende di mira un’organizzazione, in cui gli amministratori di sistema hanno bloccato il sistema. Gli attacchi vengono eseguiti sul controller di dominio e sui file server.

All’ispezione sui sistemi infetti, i ricercatori hanno ottenuto un risultato importante che l’intrusione del ransomware si è verificata tramite un jump server RDP con connessione Internet. Tuttavia, è possibile trovare le attività ransomware sui sistemi infetti perché ripristinate. La loro analisi sui dispositivi crittografati rivela ulteriori informazioni sul ransomware:

  • L’iniezione dell’opzione di esecuzione dei file di immagine viene utilizzata per ottenere la persistenza sul sistema
  • Per negare l’accesso ai server infetti, vengono utilizzate le password di Active Directory
  • La soluzione antimalware non è abilitata quando si utilizza ProcessHacker
  • Gli estorsori crittografano tutti i file server archiviati e i backup di rete distribuendo il modulo Java

Il ransomware Tycoon utilizza Java JIMAGE per creare build JRE dannose personalizzate eseguite con l’aiuto dello script di shell. Queste build di JRE contengono sia un file batch di Windows sia una shell Linux, questo fa dire ai ricercatori che il ransomware è destinato sia ai dispositivi Windows che a Linux.

Lo strumento di decrittazione non è al momento disponibile

La crittografia dei file viene eseguita utilizzando un algoritmo di crittografia AES-256 in modalità Galois / Counter (GCM )3 con un tag di autenticazione GCM lungo 16 byte. Le chiavi AES generate vengono conservate in modo sicuro su alcuni server remoti crittografati con alcuni algoritmi RSA. Pertanto, la decodifica dei file richiede alcune chiavi / codice univoci che solo gli aggressori conoscono.

Le analisi mostrano che in precedenza il ransomware utilizza l’estensione .redrum-il cui decodifica è disponibile sotto forma dello strumento di decodifica gratuito di Emssoft. Tuttavia, i file crittografati con le versioni successive di questo ransomware che utilizzano le estensioni .grinch e .thanos non sono attualmente possibili.