Buscar
  • AnbInfo

Ransomware Tycoon ataca Windows e Linux com o mesmo código.


Em circulação há seis meses, Ransomware Tycoon é baseado em Java e pode atacar máquinas com Windows ou Linux

O Tycoon é um ransomware que vem ameaçando organizações de pequeno ou médio porte que atuam principalmente nos setores de software e educação. A praga é capaz de atacar tanto computadores com Windows quanto comLinux, por uma única razão: o seu código é baseado em Java.

É o que especialistas em segurança da BlackBerry Threat Intelligence e KPMG apontam. De acordo com eles, o Tycoon vem sendo distribuído em um arquivo ZIP que traz uma compilação de Java Runtime Environment (JRE).


Estima-se que o malware esteja em ação pelo menos desde dezembro de 2019. Apesar disso, o número de vítimas, por assim dizer, não é alto. A explicação mais provável está na possibilidade de o Tycoon ser empregado apenas em ataques direcionados, ou seja, focados em alvos específicos e selecionados.

Os especialistas da BlackBerry Threat Intelligence e KPMG entraram em ação depois de uma organização educacional europeia (nome não revelado até o momento) ter sido seriamente afetada pelo malware. Eles constataram que o ataque foi iniciado a partir da instalação de um backdoor em um servidor de rede.

Após um período de inatividade para não levantar suspeitas, o invasor usou o backdoor para ter acesso à rede da instituição. A partir daí, várias ações foram executadas, como modificação de senhas do Active Directory e desativação de softwares de segurança.


A etapa final consistiu em colocar o ransomware em ação. Vários computadores da rede foram afetados. Os pesquisadores ficaram surpresos quando descobriram que o Tycoon é compilado em JIMAGE (ou Java Image), formato pouco comum, mas que pode armazenar arquivos de classe e recursos para módulos (incluindo imagens) de Java.

Mais do que permitir a execução do código em plataformas distintas (Windows, Linux e outras), essa abordagem facilita a ação do malware por, não raramente, arquivos JIMAGE não serem devidamente checados por softwares de segurança.

Quando entra em ação, o Tycoon criptografa os arquivos dos computadores afetados usando um algoritmo AES de 256 bits. Os pesquisadores até conseguiram descriptografar alguns deles recorrendo a uma chave comprada por uma das vítimas, mas o truque não funcionou com a maior parte dos arquivos.



Para piorar, há indícios de que as versões mais recentes do ransomware usam chaves criptográficas distintas em cada ataque, enquanto as primeiras recorriam à mesmas chaves para alvos diferentes.

Como o Tycoon não se espalha automaticamente, aplicar políticas de segurança de rede, implementar mecanismos de proteção e manter sistemas operacionais atualizados estão entre as ações (triviais) que podem dificultar ou impedir a instalação do malware.

Com informações: Bleeping Computer, TechCrunch.


#Tycoon #ransomware #malware #ataque #políticasdesegurançaderede

5 visualizações

SOLUÇÕES DIGITAIS

Marketing Digital

Desenvolvimento de aplicativo

Criação  de sites

Gestão de Mídias Sociais

Consultoria SEO

Criação de Blogs

Facebook Ads

Google Ads

Criação de Landing Pages

© 2001 by AnbInfo. Todos os direitos reservados.

SERVIÇOS TE TI

Gerenciamento de TI

Consultoria de TI

Cibersegurança

Projetos de Infraestrutura de TI

Cabeamento estruturado

Migração de Servidores

botao-whatsapp-NOVO.png
  • Grey Facebook Ícone
  • Instagram
  • Twitter ícone social