Especialistas em segurança alertaram que os hackers estão usando um novo ransomware Java multi-plataforma, “Tycoon”, para atingir usuários de Windows e Linux para bloquear os arquivos.
Todos sabemos que os hackers estão constantemente procurando novos meios de atacar centros de dados e sistemas de usuários normais para roubar dados e informações essenciais.
Como o Microsoft Windows é o sistema operacional mais usado, é por isso que os hackers o tornam alvo. os hackers estão prestando cada vez mais atenção a outros sistemas operacionais, como macOS e Linux.
Como os hackers estão apostando maciçamente em malware e ransomware multiplataforma, isso afeta todas as principais plataformas. O principal objetivo dessa vulnerabilidade crítica é infectar as SMBs dos setores de software e educação.
Tycoon Ransomware
Os especialistas em segurança da BlackBerry Research and Intelligence Team em associação com os Serviços de resposta cibernética da KPMG no Reino Unido nomearam esse ransomware como "Tycoon" e está em operação desde o final de 2019.
Aqui, o principal recurso do Tycoon Ransomware está infectando todos os usuários de Windows e Linux da mesma forma, pois é um ransomware escrito em linguagem de programação Java.
Os hackers ocultam o Tycoon dentro de um arquivo ZIP modificado que executa o Trojan quando a vítima o abre. Eles geralmente usam o servidor RDP e as redes vulneráveis para se infiltrar nos sistemas.
Depois que o hacker consegue executar o ransomware no sistema da vítima, ele começa a ganhar persistência no sistema e, para isso, executa uma injeção de IFEO (opções de execução de arquivo de imagem) na função de teclado na tela do Windows.
Também altera a senha do Active Directory, desativa o antivírus e instala a ferramenta de utilitário de hacker como serviço do ProcessHacker.
Depois de concluir todas essas etapas, o ransomware começa a criptografar todos os dados presentes no computador e nas unidades de rede.
Depois que tudo é feito, ele envia automaticamente a chave privada para o hacker de forma segura, destrói a chave privada do sistema da vítima e, finalmente, exibe a mensagem de surpresa para a vítima.
Os arquivos que são criptografados com o Tycoon ransomware terminam com duas extensões, que não foram vistas até agora, ".grinch e .thanos".
Inicialmente, os pesquisadores de segurança da BlackBerry detectaram o ransomware depois que um hacker atacou uma rede de um instituto educacional europeu. Aqui, o invasor acessou a rede por meio de um servidor de salto RDP conectado à Internet e implantou um backdoor persistente.
Aqui, os especialistas em segurança justificaram que o hacker deixou a porta dos servidores vulneráveis e, depois de sete dias, o hacker voltou a entrar na rede do instituto pela porta dos fundos.
Além disso, os pesquisadores de segurança apontam que essa forma de ataque não é comum, pois, além de codificados em Java, os atacantes usam o arquivo de imagem Java (JIMAGE) localizado em lib \ modules no diretório build para ocultar a carga maliciosa .
De acordo com os pesquisadores de segurança, o Tycoon ransomware está sendo implantado em uma campanha ativa de ataque de ransomware, usando os mecanismos de distribuição altamente direcionados para se infiltrar em pequenas e médias empresas (pequenas e médias empresas), instituições de ensino e indústrias de software, pois aqui eles podem ganhar quantias substanciais de dinheiro como resgate.
Proteção e mitigação
Para nos proteger desse tipo de malware e ransomware, sempre devemos ter um backup dos nossos arquivos mais importantes. É imperativo manter nosso sistema operacional e todos os programas instalados atualizados.
Além disso, você deve manter instalado um bom antivírus para Windows ou Linux, qualquer que seja o sistema operacional em uso. Além disso, você também deve ter cuidado ao baixar arquivos da Internet por padrão, pois a maioria deles contém malware.
Aqui estão as extensões e assinaturas de arquivos usadas pelos atacantes mencionados abaixo.
Extensão de arquivos criptografados: -
- thanos
- grinch
- redrum
Assinatura de arquivos criptografados: -
- happyny3.1
- redrum3_0
Então, o que você pensa sobre isso? Compartilhe todas as suas opiniões e pensamentos na seção de comentários abaixo.
