Une nouvelle souche de ransomware cible les systèmes Linux et Windows dans un certain nombre d'industries, ont averti les experts en sécurité.
Le malware, baptisé Tycoon par les chercheurs de BlackBerry Research and Intelligence Team en partenariat avec UK Cyber Response Services de KPMG qui l'a découvert, exploite ce qui semble être des attaques très ciblées contre les PME dans les secteurs des logiciels et de l'éducation.
Le ransomware est encore plus dangereux car il n'affecte pas seulement une famille d'appareils, mais aussi bien Windows que Linux, qui sont largement utilisés dans les industries ciblées.
Sommaire
Tycoon ransomware
L'équipe a observé que Tycoon semble être déployé manuellement, les opérateurs ciblant des systèmes individuels et connectant un serveur RDP. Une fois qu'une cible a été identifiée et infiltrée à l'aide des informations d'identification de l'administrateur local, l'attaquant a désactivé un antivirus et installé un utilitaire de piratage en tant que service ProcessHacker.
Le ransomware prend la forme d'un environnement Java Runtime Environment (JRE) qui échappe à la détection par ferroutage sur un format d'image Java obscur. Les paramètres des options d'exécution de fichier image (IFEO) sont stockés dans le registre Windows, apparemment pour donner aux développeurs la possibilité de déboguer leur logiciel via la connexion d'une application de débogage lors de l'exécution d'une application cible.
Une fois le rançongiciel exécuté sur un système, le logiciel malveillant procéderait au chiffrement des serveurs de fichiers et demanderait une rançon aux victimes. BlackBerry a noté que la version JRE malveillante utilisée contenait des versions Windows et Linux, suggérant que les criminels voulaient cibler plusieurs systèmes et serveurs.
"Les auteurs de programmes malveillants recherchent constamment de nouvelles façons de voler sous le radar", a écrit BlackBerry un article de blog expliquant les résultats. "Ils s'éloignent lentement de l'obscurcissement conventionnel et se tournent vers des langages de programmation inhabituels et des formats de données obscurs. Nous avons déjà vu une augmentation substantielle des ransomwares écrits dans des langages tels que Java et Go. C'est le premier échantillon que nous avons rencontré qui abuse spécifiquement le format Java JIMAGE pour créer un build JRE malveillant personnalisé. "
"Tycoon est dans la nature depuis au moins six mois, mais il semble y avoir un nombre limité de victimes. Cela suggère que le malware peut être très ciblé. Il peut également faire partie d'une campagne plus large utilisant plusieurs solutions de ransomware différentes, selon sur ce qui est perçu comme ayant plus de succès dans des environnements spécifiques. "
