O Tycoon é um ransomware que vem ameaçando organizações de pequeno ou médio porte que atuam principalmente nos setores de software e educação. A praga é capaz de atacar tanto computadores com Windows quanto com Linux, por uma única razão: o seu código é baseado em Java.
É o que especialistas em segurança da BlackBerry Threat Intelligence e KPMG apontam. De acordo com eles, o Tycoon vem sendo distribuído em um arquivo ZIP que traz uma compilação de Java Runtime Environment (JRE).
Estima-se que o malware esteja em ação pelo menos desde dezembro de 2019. Apesar disso, o número de vítimas, por assim dizer, não é alto. A explicação mais provável está na possibilidade de o Tycoon ser empregado apenas em ataques direcionados, ou seja, focados em alvos específicos e selecionados.
Os especialistas da BlackBerry Threat Intelligence e KPMG entraram em ação depois de uma organização educacional europeia (nome não revelado até o momento) ter sido seriamente afetada pelo malware. Eles constataram que o ataque foi iniciado a partir da instalação de um backdoor em um servidor de rede.
Após um período de inatividade para não levantar suspeitas, o invasor usou o backdoor para ter acesso à rede da instituição. A partir daí, várias ações foram executadas, como modificação de senhas do Active Directory e desativação de softwares de segurança.
A etapa final consistiu em colocar o ransomware em ação. Vários computadores da rede foram afetados. Os pesquisadores ficaram surpresos quando descobriram que o Tycoon é compilado em JIMAGE (ou Java Image), formato pouco comum, mas que pode armazenar arquivos de classe e recursos para módulos (incluindo imagens) de Java.
Mais do que permitir a execução do código em plataformas distintas (Windows, Linux e outras), essa abordagem facilita a ação do malware por, não raramente, arquivos JIMAGE não serem devidamente checados por softwares de segurança.
Quando entra em ação, o Tycoon criptografa os arquivos dos computadores afetados usando um algoritmo AES de 256 bits. Os pesquisadores até conseguiram descriptografar alguns deles recorrendo a uma chave comprada por uma das vítimas, mas o truque não funcionou com a maior parte dos arquivos.
Para piorar, há indícios de que as versões mais recentes do ransomware usam chaves criptográficas distintas em cada ataque, enquanto as primeiras recorriam à mesmas chaves para alvos diferentes.
Como o Tycoon não se espalha automaticamente, aplicar políticas de segurança de rede, implementar mecanismos de proteção e manter sistemas operacionais atualizados estão entre as ações (triviais) que podem dificultar ou impedir a instalação do malware.
Com informações: Bleeping Computer, TechCrunch.
Comentários da Comunidade
Participe da discussãoOs mais notáveis
Olha, se o cara for capaz de instalar um ransonware manualmente na máquina em pleno 2020, ainda mais em um servidor (ou estrutura de servidores) o cara deveria pensar seriamente em mudar de profissão e abandonar a TI.
E a essas alturas o código já deve ter se espalhado e certamente já tem grupos fazendo modificações pra que a infecção ocorra sem interferência humana.
E, claro, pesquisando mais a fundo, o ransonware explora vulnerabilidades pras quais já existe correção E como sempre a TI costuma ignorar.
Antes que alguém descubra o que ele fez e faça um tiradentes dele. haha
Uma dúvida.
Como saber se o antivírus verifica esse tipo de arquivo e evita uma possível infecção do ramsomware Tycoon ?