Os pesquisadores detalham o funcionamento incomum do ransomware Tycoon - que parece ter sido projetado para permanecer sob o radar o máximo possível.
Uma forma recém-descoberta de ransomware está perseguindo os sistemas Windows e Linux no que parece ser uma campanha direcionada.
Chamado de Tycoon após referências no código, este ransomware está ativo desde dezembro de 2019 e parece ser o trabalho de criminosos cibernéticos que são altamente seletivos em sua segmentação. O malware também usa uma técnica de implantação incomum que ajuda a permanecer oculto nas redes comprometidas.
Os principais alvos do Tycoon são organizações nos setores de educação e software.
Tycoon foi descoberto e detalhado por pesquisadores da BlackBerry trabalhando com analistas de segurança na KPMG. É uma forma incomum de ransomware porque é escrito em Java, implantado como um Java Runtime Environment trojanizado e compilado em um arquivo de imagem Java (Jimage) para ocultar as intenções maliciosas.
"Ambos são métodos exclusivos. Java raramente é usado para escrever malware de endpoint porque requer que o Java Runtime Environment seja capaz de executar o código. Arquivos de imagem raramente são usados para ataques de malware", Eric Milam, VP de pesquisa e inteligência em BlackBerry, disse a ZDNet.
"Os invasores estão mudando para linguagens de programação incomuns e formatos de dados obscuros. Aqui, os invasores não precisaram ocultar seu código, mas tiveram sucesso em cumprir seus objetivos", acrescentou.
No entanto, o primeiro estágio dos ataques de ransomware Tycoon é menos incomum, com a intrusão inicial vindo de servidores RDP voltados para a Internet inseguros. Este é um vetor de ataque comum para campanhas de malware e frequentemente explora servidores com senhas fracas ou previamente comprometidas .
Uma vez dentro da rede, os invasores mantêm a persistência usando as configurações de injeção de opções de execução de arquivo de imagem (IFEO) que, com mais freqüência, fornecem aos desenvolvedores a capacidade de depurar software. Os atacantes também usam privilégios para desativar o software anti-malware usando o ProcessHacker para impedir a remoção do ataque.
“O ransomware pode ser implementado em linguagens de alto nível, como Java, sem ofuscação e executado de maneiras inesperadas”, disse Milam.
Após a execução, o ransomware criptografa a rede com arquivos criptografados pelo Tycoon com extensões, incluindo .redrum, .grinch e .thanos - e os invasores exigem um resgate em troca da chave de descriptografia. Os atacantes pedem o pagamento em bitcoin e afirmam que o preço depende da rapidez com que a vítima entra em contato por e-mail.
O fato de a campanha ainda estar em andamento sugere que aqueles por trás dela estão tendo sucesso em extorquir pagamentos das vítimas . Até agora, os pesquisadores só viram o Tycoon mirando no Windows em estado selvagem, mas os scripts de shell nos módulos Java do ransomware contêm variantes do Windows e do Linux, sugerindo que os invasores também desenvolveram uma versão voltada para o Linux.
Os pesquisadores sugerem que o Tycoon pode estar potencialmente vinculado a outra forma de ransomware, Dharma - também conhecido como Crysis - devido a semelhanças nos endereços de e-mail, nomes de arquivos criptografados e o texto da nota de resgate.
E embora o Tycoon tenha alguns meios exclusivos de executar uma infecção, como outras formas de ransomware, é possível evitar que ele chegue tão longe.
Como o RDP é um meio comum de compromisso, as organizações podem garantir que as únicas portas voltadas para a Internet sejam aquelas que o exigem como uma necessidade absoluta.
As organizações também devem se certificar de que as contas que precisam de acesso a essas portas não estão usando credenciais padrão ou senhas fracas que podem ser facilmente adivinhadas como um meio de invasão.
Aplicar patches de segurança quando forem lançados também pode impedir muitos ataques de ransomware, pois impede que os criminosos explorem vulnerabilidades conhecidas. As organizações também devem garantir que fazem backups regulares de sua rede - e que o backup é confiável - para que, se o pior acontecer, a rede possa ser restaurada sem ceder às demandas dos criminosos cibernéticos
Fonte:ZDNet
By
Danny Palmer
|
| Topic: Security
Nenhum comentário:
Postar um comentário