Ένα νέο ransomware, που ανακαλύφθηκε πρόσφατα, στοχεύει συστήματα Windows και Linux. Το ransomware ονομάζεται Tycoon και είναι ενεργό από τον Δεκέμβριο του 2019. Οι ειδικοί πιστεύουν ότι είναι έργο εγκληματιών που είναι ιδιαίτερα επιλεκτικοί στη στόχευση των θυμάτων τους. Το κακόβουλο λογισμικό χρησιμοποιεί, επίσης, μια ασυνήθιστη τεχνική που το βοηθά να παραμείνει κρυμμένο στα παραβιασμένα δίκτυα.
Τα περισσότερα θύματα του Tycoon είναι οργανισμοί στον κλάδο της εκπαίδευσης και του software.
Το Tycoon είχε ανακαλυφθεί και αναλυθεί από ερευνητές της BlackBerry και της KPMG. Είναι μια ασυνήθιστη μορφή ransomware, επειδή είναι γραμμένο σε Java, αναπτύσσεται ως trojanised Java Runtime Environment και εμφανίζεται ως αρχείο εικόνας Java (Jimage) για να κρύψει τις κακόβουλες προθέσεις του.
Αυτές οι μέθοδοι δεν χρησιμοποιούνται συνήθως σε ransomware. “Η Java χρησιμοποιείται σπάνια για τη δημιουργία κακόβουλου λογισμικού, επειδή απαιτεί το Java Runtime Environment για να είναι σε θέση να εκτελεί τον κώδικα. Επίσης, τα αρχεία εικόνας σπάνια χρησιμοποιούνται για malware επιθέσεις”, είπε ο Eric Milam, στέλεχος της BlackBerry.
“Οι επιτιθέμενοι στρέφονται σε ασυνήθιστες γλώσσες προγραμματισμού και σε “περίεργα” data formats. Εδώ, οι επιτιθέμενοι δεν χρειάστηκε να αποκρύψουν τον κώδικά τους, αλλά κατάφεραν να πετύχουν τους στόχους τους”, πρόσθεσε.
Ωστόσο, το πρώτο στάδιο των επιθέσεων του Tycoon ransomware είναι αρκετά συνηθισμένο. Η αρχική εισβολή γίνεται μέσω μη ασφαλών RDP servers. Αυτή η μέθοδος χρησιμοποιείται συχνά για επιθέσεις και εκμεταλλεύεται servers με αδύναμους ή ήδη παραβιασμένους κωδικούς πρόσβασης.
Όταν εισέλθουν στο δίκτυο, οι επιτιθέμενοι χρησιμοποιούν Image File Execution Options (IFEO) injection settings, που συχνά παρέχουν στους προγραμματιστές τη δυνατότητα εντοπισμού σφαλμάτων λογισμικού. Οι hackers προσπαθούν, επίσης, να απενεργοποιήσουν τα λογισμικά προστασίας από κακόβουλο λογισμικό χρησιμοποιώντας το ProcessHacker.
Μετά την εκτέλεση, το Tycoon ransomware κρυπτογραφεί το δίκτυο. Τα αρχεία που κρυπτογραφούνται, αποκτούν επεκτάσεις όπως .redrum, .grinch και .thanos. Στη συνέχεια, οι επιτιθέμενοι ζητούν λύτρα από τα θύματα για να “ελευθερώσουν” τα δεδομένα. Οι επιτιθέμενοι ζητούν τα λύτρα σε bitcoin και ισχυρίζονται ότι η τιμή εξαρτάται από το πόσο γρήγορα θα επικοινωνήσει το θύμα μέσω email.
Το γεγονός ότι η εκστρατεία είναι ακόμη σε εξέλιξη δείχνει ότι οι επιθέσεις είναι επιτυχημένες.
Οι ερευνητές πιστεύουν ότι το Tycoon θα μπορούσε ενδεχομένως να συνδεθεί με μια άλλη μορφή ransomware, το Dharma (γνωστό και ως Crysis), καθώς παρουσιάζουν αρκετές ομοιότητες.
Αν και το Tycoon χρησιμοποιεί κάποιες σπάνιες μεθόδους επίθεσης, μπορούμε να αποτρέψουμε την εκτέλεσή του.
Οι οργανισμοί θα πρέπει να ασφαλίζουν σωστά τους RDP servers τους και να διασφαλίζουν ότι οι λογαριασμοί δεν χρησιμοποιούν προεπιλεγμένα ή αδύναμα credentials.
Η άμεση εφαρμογή ενημερώσεων ασφαλείας μπορεί, επίσης, να αποτρέψει πολλές επιθέσεις ransomware, καθώς οι εγκληματίες δεν μπορούν να εκμεταλλευτούν γνωστές ευπάθειες. Επιπλέον, η τακτική δημιουργία αντιγράφων ασφαλείας είναι απαραίτητη, γιατί ακόμα και αν κρυπτογραφηθούν τα αρχεία, οι οργανισμοί θα εξακολουθούν να έχουν πρόσβαση σε αυτά.
