SecurityOpenLab

Ransomware Tycoon attacca sistemi Windows e Linux con JIMAGE

Un nuovo ransomware denominato Tycoon attacca le vittime nascondendosi in un file di immagine Java (JIMAGE).

Il Blackberry Research and Intelligence Team e KPMG UK Cyber Response Services hanno scovato un nuovo ransomware soprannominato Tycoon. Utilizza un formato di immagine Java poco noto per evitare il rilevamento e poi crittografa i file presenti sui server, bloccando gli amministratori, a meno che non paghino un riscatto.

I ricercatori sono giunti a queste conclusioni conducendo indagini forensi presso un istituto educativo europeo caduto vittima dell'attacco. Hanno scoperto che gli aggressori avevano ottenuto l'accesso attraverso un remote desktop server connesso a Internet.

Tycoon è altamente mirato. Finora ha colpito circa una dozzina di vittime, più che altro istituti di formazione e software house di piccole e medie dimensioni. Questo ricorda che, nonostante facciano notizia gli attacchi alle grandi aziende con richieste di riscatto milionarie, le PMI restano nel mirino dei cyber criminali. I ricercatori fanno anche notare che Tycoon potrebbe essere parte di campagne ransomware più ampie.
tycoon timeline di attaccoLa timeline di attacco di Tycoon

Tycoon

Riepiloghiamo quanto è finora noto di Tycoon. Sembra essere un malware capace di colpire sia sistemi Windows che Linux. Impiega diverse tecniche per evitare il rilevamento, fra cui la disattivazione delle soluzioni anti-malware.

La caratteristica peculiare è che viene compilato in un file di immagine Java (JIMAGE) che viene raramente utilizzato dagli sviluppatori. JIMAGE è in genere uno strumento utilizzato per archiviare immagini personalizzate. Tycoon è il primo esempio di malware che abusa specificamente del formato Java JIMAGE per creare una build JRE dannosa personalizzata.

È l'ennesima indicazione del fatto che gli autori di malware sono costantemente alla ricerca di nuovi modi per operare indisturbati. Dato che le tecniche convenzionali di offuscamento sono ormai note, i cyber criminali puntano sempre di più sui linguaggi di programmazione non comuni e sui formati di dati insoliti.

La buona notizia è che alcune vittime di Tycoon possono recuperare i dati senza pagare il riscatto. Nei primi attacchi, infatti, i cyber criminali hanno impiegato una chiave privata RSA comunemente usata in passato.
la shell per l esecuzione del ransomwareLa shell per l'esecuzione del ransomwareDetto questo, Tycoon ha delle caratteristiche che richiamano alla memoria altri ransomware. Premesso di non è chiaro chi siano gli operatori del ransomware, il codice ha alcune somiglianze con Dharma/CrySIS, attivi dal 2016. Riguardano alcuni degli indirizzi email e il testo della richiesta di riscatto. Oltre alla denominazione utilizzata per i file crittografati.

Inoltre, Dharma e Tycoon sembrano utilizzare lo stesso ingresso iniziale, ossia un RDP jump-server con connessione a Internet. A quel punto sfruttano le credenziali deboli per fare il lavoro sporco.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 05/06/2020

Tag: cyber security ransomware blackberry research and intelligence team kpmg uk cyber response services java


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore