Novo ransomware Tycoon em operações de tamanho médio de segmentação selvagem

Pesquisadores de segurança do BlackBerry Threat Intelligence e KMPG descobriram um malware baseado em Java de várias plataformas chamado Tycoon ransomware – que pode ser usado para criptografar dispositivos Windows e Linux. Ele ataca pequenas operações de tamanho médio nas indústrias de software e educação. Como o relatório diz, esse malware está ativo desde dezembro de 2019. Mas um número limitado de pessoas é vítima disso.

“A sobreposição em alguns dos endereços de e-mail, bem como o texto da nota de resgate e a convenção de nomenclatura usada para arquivos criptografados, sugerem uma conexão entre o Tycoon e o ransomware Dharma / CrySIS”, descobriram os pesquisadores de segurança.

A análise dos pesquisadores sobre o ransomware ocorreu em abril de 2020. Eles descobriram que o vírus Tycoon tem como alvo uma organização, na qual os administradores de sistema bloquearam seu sistema. Os ataques são feitos no controlador de domínio e nos servidores de arquivos.

Ao inspecionar os sistemas infectados, os pesquisadores chegaram a um resultado importante de que a invasão do ransomware ocorreu por meio de um servidor de salto RDP na Internet. No entanto, é possível encontrar as atividades de ransomware nos sistemas infectados porque elas são restauradas. Sua análise nos dispositivos criptografados revela mais sobre o ransomware:

  • A injeção da opção de execução do arquivo de imagem é usada para obter persistência no sistema
  • Para negar acesso a servidores infectados, as Senhas do Active Directory são usadas
  • A solução anti-malware não está habilitada ao usar o ProcessHacker
  • Os extorsionistas criptografam todos os servidores de arquivos armazenados e backups de rede implementando o módulo Java

O ransomware Tycoon usa Java JIMAGE para criar construções maliciosas personalizadas do JRE executadas com a ajuda do shell script. Essas compilações do JRE contêm o arquivo em lotes do Windows e um shell do Linux – isso faz com que os pesquisadores digam que o ransomware tem como alvo os dispositivos Windows e Linux.

A ferramenta de descriptografia não está disponível no momento

A criptografia de arquivos é feita usando um algoritmo de criptografia AES-256 no modo Galois / Counter (GCM) 3 com uma etiqueta de autenticação GCM de 16 bytes de comprimento. As chaves AES geradas são mantidas com segurança em algum servidor remoto criptografado com algum algoritmo RSA. Assim, a descriptografia de arquivos requer algumas chaves / códigos exclusivos que apenas os invasores conhecem.

A análise mostra que o ransomware anteriormente usa a extensão .redrum – cuja descriptografia está disponível na forma da ferramenta de descriptografia gratuita da Emssoft. No entanto, os arquivos criptografados pelas versões posteriores deste ransomware que usam as extensões .grinch e .thanos não são atualmente possíveis.