Ransomware Tycoon attacca sistemi Windows e Linux con JIMAGE

Un nuovo ransomware denominato Tycoon attacca le vittime nascondendosi in un file di immagine Java (JIMAGE).

Business Vulnerabilità
Il Blackberry Research and Intelligence Team e KPMG UK Cyber Response Services hanno scovato un nuovo ransomware soprannominato Tycoon. Utilizza un formato di immagine Java poco noto per evitare il rilevamento e poi crittografa i file presenti sui server, bloccando gli amministratori, a meno che non paghino un riscatto.

I ricercatori sono giunti a queste conclusioni conducendo indagini forensi presso un istituto educativo europeo caduto vittima dell'attacco. Hanno scoperto che gli aggressori avevano ottenuto l'accesso attraverso un remote desktop server connesso a Internet.

Tycoon è altamente mirato. Finora ha colpito circa una dozzina di vittime, più che altro istituti di formazione e software house di piccole e medie dimensioni. Questo ricorda che, nonostante facciano notizia gli attacchi alle grandi aziende con richieste di riscatto milionarie, le PMI restano nel mirino dei cyber criminali. I ricercatori fanno anche notare che Tycoon potrebbe essere parte di campagne ransomware più ampie.
tycoon timeline di attaccoLa timeline di attacco di Tycoon

Tycoon

Riepiloghiamo quanto è finora noto di Tycoon. Sembra essere un malware capace di colpire sia sistemi Windows che Linux. Impiega diverse tecniche per evitare il rilevamento, fra cui la disattivazione delle soluzioni anti-malware.

La caratteristica peculiare è che viene compilato in un file di immagine Java (JIMAGE) che viene raramente utilizzato dagli sviluppatori. JIMAGE è in genere uno strumento utilizzato per archiviare immagini personalizzate. Tycoon è il primo esempio di malware che abusa specificamente del formato Java JIMAGE per creare una build JRE dannosa personalizzata.

È l'ennesima indicazione del fatto che gli autori di malware sono costantemente alla ricerca di nuovi modi per operare indisturbati. Dato che le tecniche convenzionali di offuscamento sono ormai note, i cyber criminali puntano sempre di più sui linguaggi di programmazione non comuni e sui formati di dati insoliti.

La buona notizia è che alcune vittime di Tycoon possono recuperare i dati senza pagare il riscatto. Nei primi attacchi, infatti, i cyber criminali hanno impiegato una chiave privata RSA comunemente usata in passato.
la shell per l esecuzione del ransomwareLa shell per l'esecuzione del ransomwareDetto questo, Tycoon ha delle caratteristiche che richiamano alla memoria altri ransomware. Premesso di non è chiaro chi siano gli operatori del ransomware, il codice ha alcune somiglianze con Dharma/CrySIS, attivi dal 2016. Riguardano alcuni degli indirizzi email e il testo della richiesta di riscatto. Oltre alla denominazione utilizzata per i file crittografati.

Inoltre, Dharma e Tycoon sembrano utilizzare lo stesso ingresso iniziale, ossia un RDP jump-server con connessione a Internet. A quel punto sfruttano le credenziali deboli per fare il lavoro sporco.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori