BlackBerry Threat IntelligenceとKMPGのセキュリティ研究者が、Tycoonランサムウェアと呼ばれるマルチプラットフォームのJavaベースのマルウェアを発見しました。これは、WindowsとLinuxの両方のデバイスの暗号化に使用できます。これは、ソフトウェアおよび教育業界における中小規模の事業を攻撃します。報告によると、このマルウェアは2019年12月から活動を続けています。しかし、限られた数の人々がこの被害を受けています。
「一部の電子メールアドレスの重複、および身代金メモのテキストと暗号化されたファイルに使用される命名規則は、TycoonとDharma / CrySISランサムウェア間の接続を示唆している」とセキュリティ研究者は発見した。
ランサムウェアに関する研究者の分析は、2020年4月に行われました。彼らは、Tycoonウイルスが、システム管理者がシステムからブロックしている組織を標的にしていることを発見しました。攻撃はドメインコントローラとファイルサーバーで行われます。
感染したシステムの検査で、研究者たちはランサムウェアの侵入がインターネットに面したRDPジャンプサーバーを介して発生したという重要な結果に達しました。ただし、感染したシステムでランサムウェアの活動を見つけることは可能です。暗号化されたデバイスに関する彼らの分析は、ランサムウェアについてより多くを明らかにします:
- イメージファイル実行オプションインジェクションは、システムの永続性を獲得するために使用されます
- 感染したサーバーへのアクセスを拒否するために、Active Directoryパスワードが使用されます
- ProcessHackerを使用している場合、マルウェア対策ソリューションは有効になっていません
- 恐喝者は、Javaモジュールを導入することにより、保存されているすべてのファイルサーバーとネットワークバックアップを暗号化します。
Tycoonランサムウェアは、Java JIMAGEを使用して、シェルスクリプトの助けを借りて実行されるカスタムの悪意のあるJREビルドを作成します。このJREビルドには、ウィンドウバッチファイルとLinuxシェルの両方が含まれています。これにより、ランサムウェアはWindowsデバイスとLinuxデバイスの両方をターゲットにしていると研究者は言う。
解読ツールは現在利用できません
ファイルの暗号化は、ガロア/カウンター(GCM)mode3でAES-256暗号化アルゴリズムを使用し、16バイト長のGCM認証タグを使用して行われます。生成されたAESキーは、RSAアルゴリズムで暗号化されたリモートサーバーに安全に保管されます。したがって、ファイルの復号化には、攻撃者だけが知っている一意のキー/コードが必要です。
分析によると、以前のランサムウェアは.redrum拡張子を使用しており、その復号化はEmssoftの無料の復号化ツールの形で利用できます。ただし、拡張子が.grinchと.thanosを使用するこのランサムウェアの新しいバージョンで暗号化されたファイルは、現在のところ不可能です。