Ransomware Tycoon está atacando computadores Windows e Linux

Usando uma uma técnica de implantação incomum o Ransomware Tycoon está atacando computadores Windows e Linux. Confira os detalhes dessa nova ameaça digital.

Uma forma recém-descoberta de ransomware está perseguindo os sistemas Windows e Linux no que parece ser uma campanha direcionada.

Nomeado Tycoon após as referências no código, este ransomware está ativo desde dezembro de 2019 e parece ser o trabalho de criminosos cibernéticos altamente seletivos em sua segmentação.

Ransomware Tycoon está atacando computadores Windows e Linux
Ransomware Tycoon está atacando computadores Windows e Linux

O malware também usa uma técnica de implantação incomum que ajuda a ficar oculto em redes comprometidas.

Os principais alvos do Tycoon são organizações nos setores de educação e software.

O Tycoon foi descoberto e detalhado por pesquisadores da BlackBerry que trabalham com analistas de segurança da KPMG.

É uma forma incomum de ransomware, porque é escrito em Java, implantado como Java Runtime Environment trojanizado e compilado em um arquivo de imagem Java (Jimage) para ocultar as intenções maliciosas.

Sobre esse aspecto, Eric Milam, vice-presidente de pesquisa e inteligência da BlackBerry, disse o seguinte:

“Esses dois métodos são únicos. O Java raramente é usado para escrever malware de terminal, porque exige que o Java Runtime Environment possa executar o código. Os arquivos de imagem raramente são usados ​​para ataques de malware.”

“Os invasores estão mudando para linguagens de programação incomuns e formatos de dados obscuros. Aqui, os invasores não precisavam obscurecer seu código, mas foram bem-sucedidos em atingir seus objetivos.”

No entanto, o primeiro estágio dos ataques do Tycoon ransomware é menos incomum, com a invasão inicial por meio de servidores RDP inseguros voltados para a Internet.

Esse é um vetor de ataque comum para campanhas de malware e geralmente explora servidores com senhas fracas ou comprometidas anteriormente.

Uma vez dentro da rede, os atacantes mantêm a persistência usando Image File Execution Options(IFEO, ou Opções de Execução de Arquivo de Imagem) configurações de injeção que mais frequentemente fornecem aos desenvolvedores a capacidade de depurar software.

Os invasores também usam privilégios para desativar o software antimalware usando o ProcessHacker para interromper a remoção do ataque.

“O ransomware pode ser implementado em linguagens de alto nível, como Java, sem ofuscação e executado de maneiras inesperadas”, disse Milam.

Após a execução, o ransomware criptografa a rede com arquivos criptografados pela Tycoon, com extensões como .redrum, .grinch e .thanos – e os atacantes exigem um resgate em troca da chave de descriptografia.

Os atacantes pedem pagamento em bitcoin e afirmam que o preço depende da rapidez com que a vítima entra em contato por e-mail.

O fato de a campanha ainda estar em andamento sugere que aqueles que estão por trás dela estão obtendo sucesso extorquindo os pagamentos das vítimas.

Até agora, os pesquisadores só viram o Tycoon mirar no Windows, mas os scripts de shell nos módulos Java do ransomware contêm variantes do Windows e do Linux, sugerindo que os atacantes também desenvolveram uma compilação direcionada ao Linux.

Ransomware Tycoon está atacando computadores Windows e Linux

Os pesquisadores sugerem que o Tycoon poderia estar potencialmente vinculado a outra forma de ransomware, o Dharma – também conhecido como Crysis – devido a semelhanças nos endereços de e-mail, nomes de arquivos criptografados e o texto da nota de resgate.

E, embora o Tycoon tenha alguns meios exclusivos de executar uma infecção, como outras formas de ransomware, é possível impedir que ela chegue tão longe.

Como o RDP é um meio comum de comprometimento, as organizações podem garantir que as únicas portas voltadas para a Internet são as que exigem isso como uma necessidade absoluta.

As organizações também devem garantir que as contas que precisam acessar essas portas não usem credenciais padrão ou senhas fracas que possam ser facilmente adivinhadas como meio de invadir.

A aplicação de patches de segurança quando lançados também pode impedir muitos ataques de ransomware, pois impede que criminosos explorem vulnerabilidades conhecidas.

As organizações também devem garantir que façam backup regularmente de sua rede – e que o backup seja confiável – para que, se o pior acontecer, a rede possa ser restaurada sem ceder às demandas de criminosos cibernéticos.

O que está sendo falado no blog

Post Views: 293

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.