Início » Antivírus e Segurança » Ransomware Tycoon ataca Windows e Linux com o mesmo código

Ransomware Tycoon ataca Windows e Linux com o mesmo código

Em circulação há seis meses, Ransomware Tycoon é baseado em Java e pode atacar máquinas com Windows ou Linux

Emerson Alecrim Por

O Tycoon é um ransomware que vem ameaçando organizações de pequeno ou médio porte que atuam principalmente nos setores de software e educação. A praga é capaz de atacar tanto computadores com Windows quanto com Linux, por uma única razão: o seu código é baseado em Java.

Ransomware / Pixabay

É o que especialistas em segurança da BlackBerry Threat Intelligence e KPMG apontam. De acordo com eles, o Tycoon vem sendo distribuído em um arquivo ZIP que traz uma compilação de Java Runtime Environment (JRE).

Estima-se que o malware esteja em ação pelo menos desde dezembro de 2019. Apesar disso, o número de vítimas, por assim dizer, não é alto. A explicação mais provável está na possibilidade de o Tycoon ser empregado apenas em ataques direcionados, ou seja, focados em alvos específicos e selecionados.

Os especialistas da BlackBerry Threat Intelligence e KPMG entraram em ação depois de uma organização educacional europeia (nome não revelado até o momento) ter sido seriamente afetada pelo malware. Eles constataram que o ataque foi iniciado a partir da instalação de um backdoor em um servidor de rede.

Após um período de inatividade para não levantar suspeitas, o invasor usou o backdoor para ter acesso à rede da instituição. A partir daí, várias ações foram executadas, como modificação de senhas do Active Directory e desativação de softwares de segurança.

A etapa final consistiu em colocar o ransomware em ação. Vários computadores da rede foram afetados. Os pesquisadores ficaram surpresos quando descobriram que o Tycoon é compilado em JIMAGE (ou Java Image), formato pouco comum, mas que pode armazenar arquivos de classe e recursos para módulos (incluindo imagens) de Java.

Mais do que permitir a execução do código em plataformas distintas (Windows, Linux e outras), essa abordagem facilita a ação do malware por, não raramente, arquivos JIMAGE não serem devidamente checados por softwares de segurança.

Ransomware Tycoon - código

Quando entra em ação, o Tycoon criptografa os arquivos dos computadores afetados usando um algoritmo AES de 256 bits. Os pesquisadores até conseguiram descriptografar alguns deles recorrendo a uma chave comprada por uma das vítimas, mas o truque não funcionou com a maior parte dos arquivos.

Para piorar, há indícios de que as versões mais recentes do ransomware usam chaves criptográficas distintas em cada ataque, enquanto as primeiras recorriam à mesmas chaves para alvos diferentes.

Como o Tycoon não se espalha automaticamente, aplicar políticas de segurança de rede, implementar mecanismos de proteção e manter sistemas operacionais atualizados estão entre as ações (triviais) que podem dificultar ou impedir a instalação do malware.

Com informações: Bleeping Computer, TechCrunch.

Comentários da Comunidade

Participe da discussão
4 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Sérgio (@trovalds)

Olha, se o cara for capaz de instalar um ransonware manualmente na máquina em pleno 2020, ainda mais em um servidor (ou estrutura de servidores) o cara deveria pensar seriamente em mudar de profissão e abandonar a TI.

E a essas alturas o código já deve ter se espalhado e certamente já tem grupos fazendo modificações pra que a infecção ocorra sem interferência humana.

E, claro, pesquisando mais a fundo, o ransonware explora vulnerabilidades pras quais já existe correção E como sempre a TI costuma ignorar.

Eu (@Keaton)

Antes que alguém descubra o que ele fez e faça um tiradentes dele. haha

ochateador (@ochateador)

Uma dúvida.

essa abordagem facilita a ação do malware por, não raramente, arquivos JIMAGE não serem devidamente checados por softwares de segurança.

Como saber se o antivírus verifica esse tipo de arquivo e evita uma possível infecção do ramsomware Tycoon ?