Detectan Ransomware Tycoon que ha estado activo desde 2019 y está detraś de los sistemas de pequeñas medianas empreas e instituos educativos con sistemas operativos Windows y Linux, investigadores afirman que se trata de un ataque mediante campaña dirigida.
Investigadores de BlackBerry en conjunto con la firma KPMG, detectaron Tycoon, una variante de ransomware creado en el lenguaje de programación Java, un formato de difícil detección y que apunta a atacar sistemas operativos Windows y Linux.
Intrusión inicial a la red
Los investigadores de BlackBerry detectaron el ransomware después que un hacker atacó la red de un instituto educativo europeo.
El Equipo de Investigación e Inteligencia de BlackBerry, en asociación con los Servicios de Respuesta Cibernética del Reino Unido de KPMG, determinaron que el atacante accedió a la red a través un través de un servidor de salto RDP con conexión a Internet y desplegó un backdoor persistente para obtener un fácil acceso a la red posteriormente.
Los investigadores explican que el hacker dejó el backdoor en los servidores y siete días después, volvió a ingresar a la red del instituto a través de la puerta trasera.
Segunda intrusión: puerta trasera en Windows
Para entrar a la red nuevamente, los atacantes ejecutaron un backdoor o puerta trasera junto con la función de teclado en pantalla (OSK) de Windows.
En esta segunda intrusión los atacantes lograron deshabilitar los servicios antimalwares utilizando la función ProcessHacker, donde cambiaron las contraseñas de los servidores de Active Directory. Bloqueando el acceso total de los administradores al sistema.
La mayoría de los archivos de los atacantes fueron marcados por tiempo, incluidas las bibliotecas de Java y el script de ejecución, y tenían marcas de fecha y hora del 11 de abril de 2020, 15:16:22.
Posteriormente, los hackers desplegaron el ransomware creado en Java a través de la red y activaron la carga útil, encriptando los archivos de todas las computadoras conectadas a la red e impidiendo el acceso a los admnistradores, con el fin de pedir un rescate.
Tycoon ransomware viene en forma de un archivo ZIP que contiene una compilación Trojanized Java Runtime Environment (JRE). El malware se compila en un archivo de imagen Java (JIMAGE) ubicado en módules lib\ dentro del directorio de compilación.
Expertos señalan que esta forma de ataca no es común puesto que además de ser codificado en Java, los atacantes usan la imagen JIMAGE para ocultar la carga maliciosa.
“Estos dos métodos son únicos. Java rara vez se usa para escribir malware de punto final porque requiere que Java Runtime Environment pueda ejecutar el código. Los archivos de imagen rara vez se usan para ataques de malware”, dijo Eric Milam, vicepresidente de investigación e inteligencia de BlackBerry.
El equipo de BlackBerry publicó la siguiente imagen donde se describe el modus operandi del atacante:
De acuerdo con los investigadores de seguridad, Tycoon se está implementando en una campaña activa de ataques ransomware, utilizando mecanismos de entrega altamente específicos para infiltrarse en pequeñas e medianas empresas e instituciones en las industrias de educación y software, donde posiblemente estén obteniendo grandes sumas de dinero por el rescate.
Sin embargo KPMG y los investigadores de BlackBerry, afirman que debido a la reutilización de una clave privada RSA común, de pueden recuperar los datos secuestrados por Tycoon sin tener que pagar rescate alguno.
Eric Milam y Claudiu Teodorescu de BlackBerry dijeron a TechCrunch que han observado una docena de infecciones de Tycoon “altamente selectivas” en los últimos seis meses.