Novo ransomware está direcionado para PCs com Linux e Windows

Enquanto o Windows está mais ou menos perdendo espaço, o Linux continua crescendo.

Windows baseado em Linux é ilusão, diz engenheiro da Canonical — Enquanto o Windows está mais ou menos perdendo espaço, o Linux continua crescendo.

O ransomware Tycoon está perseguindo os sistemas Windows e Linux no que parece ser uma campanha direcionada e parece ser o trabalho de criminosos cibernéticos altamente seletivos. O malware também usa uma técnica de implantação incomum, que ajuda-o a ficar oculto em redes comprometidas.

Novo ransomware está direcionado para PCs com Linux e Windows

O Tycoon foi descoberto e detalhado por pesquisadores da BlackBerry que trabalham com analistas de segurança da KPMG. Ele é uma forma incomum de ransomware, porque é escrito em Java, implantado como Java Runtime Environment trojanizado e compilado em um arquivo de imagem Java (Jimage) para ocultar as intenções maliciosas.

Eric Milam, vice-presidente de pesquisa e inteligência da BlackBerry disse ao site ZDNET:

Esses dois métodos são únicos. O Java raramente é usado para escrever malware terminal, pois exige que o Java Runtime Environment possa executar o código. Os arquivos de imagem raramente são usados para ataques de malware.

Os invasores estão mudando para linguagens de programação incomuns e formatos de dados obscuros. Aqui, os invasores não precisavam obscurecer seu código, mas foram bem-sucedidos em atingir seus objetivos.

O fato de a campanha ainda estar em andamento sugere que aqueles que estão por trás dela estão obtendo sucesso extorquindo os pagamentos das vítimas.

O Tycoon criptografa arquivos de rede

No entanto, o primeiro estágio dos ataques do Tycoon ransomware é menos incomum, com a invasão inicial por meio de servidores RDP inseguros voltados para a internet. Esse é um vetor de ataque comum para campanhas de malware e geralmente explora servidores com senhas fracas ou comprometidas anteriormente.

Os invasores usam privilégios para desativar o software antimalware usando o ProcessHacker para interromper a remoção do ataque.

Após a execução, o ransomware criptografa a rede com arquivos criptografados pelo Tycoon, com extensões como .redrum, .grinch e .thanos. Além disso, os atacantes exigem um resgate em troca da chave de descriptografia. Os atacantes pedem pagamento em bitcoin e afirmam que o preço depende da rapidez com que a vítima entra em contato por e-mail.

O fato de a campanha ainda estar em andamento sugere que aqueles que estão por trás dela estão obtendo sucesso extorquindo os pagamentos das vítimas.

Portanto, as organizações devem garantir que:

como o RDP é um meio comum de comprometimento, as únicas portas voltadas para a internet devem ser as que exigem isso como uma necessidade absoluta;
as contas que precisam acessar essas portas não usem credenciais padrão ou senhas fracas, que podem ser facilmente adivinhadas;
sejam aplicados patches de segurança quando lançados;
backup regularmente de sua rede (backup confiável) para que, se o pior acontecer, a rede possa ser restaurada sem ceder às demandas de criminosos cibernéticos.

Fonte: ZDNET

Assuntos