Este Nuevo Ransomware Tycoon Ataca PC con Windows

Un nuevo ransomware Tycoon, descubierto de manera única, está atacando PCs con Windows, este malware recién identificado se llama Tycoon debido a las referencias encontradas en el código. Este ransomware Tycoon fue descubierto por primera vez en diciembre de 2019 y parece que trabaja para los mafiosos cibernéticos que son muy escrupulosos al elegir sus objetivos.

Este virus ransomware Tycoon recién fundado ha sido diseñado con un algoritmo tan avanzado, que utilizando esas técnicas de despliegue poco comunes puede permanecer oculto en redes comprometidas. Este malware ha sido identificado y explicado por los investigadores de BlackBerry que estaban trabajando con analistas de seguridad en KPMG.

Este Nuevo Ransomware Tycoon Ataca PC con Windows

Es un tipo fenomenal de ransomware que está escrito en JAVA, que puede ser desplegado en su sistema a través del Entorno de Ejecución de Java (JRE) y está compilado en una imagen de Java llamada Jimage para ocultar el propósito malicioso.

Estos son métodos únicos. Java se utiliza muy raramente para escribir malware de punto final porque requiere que el Entorno de Ejecución de Java pueda ejecutar el código. Los archivos de imagen rara vez se utilizan para ataques de malware. Los atacantes están cambiando hacia lenguajes de programación poco comunes y formatos de datos oscuros. Aquí, los atacantes no necesitaban oscurecer su código, pero aun así tuvieron éxito en lograr sus objetivos, el ransomware puede ser implementado en lenguajes de alto nivel como Java sin ofuscación y ejecutado de maneras inesperadas.

Eric Milam, VP de investigación e inteligencia en BlackBerry

También lee: ¡No actualices a la actualización de mayo de Windows 10!

¿Cómo ataca?

• Para lograr resistencia en la máquina de la víctima, los atacantes utilizaron un método llamado inyección de Opciones de Ejecución de Archivos de Imagen (IFEO). El registro de Windows almacena la configuración de IFEO. A través de estas configuraciones, los desarrolladores tienen la opción de depurar el software mediante la adición de una aplicación de depuración durante la ejecución de una aplicación objetivo.
• Luego se ha ejecutado un backdoor con el Teclado en Pantalla de Microsoft Windows.
• Después de esto, los atacantes cambian la contraseña de los servidores de Active Directory deshabilitando la solución anti-malware de la organización a través de la utilidad Process Hacker.
• Esto deja al sufridor impotente y no puede acceder a su propio sistema.
• La mayoría de los archivos de los atacantes cibernéticos estaban sellados con una marca de tiempo, incluyendo las Bibliotecas de Java y los scripts de ejecución, todos esos archivos tienen la misma marca de tiempo del 11 de abril de 2020 a las 15:16:22.
• Finalmente, los atacantes ejecutaron con éxito el último módulo de ransomware Tycoon de Java y encriptaron todos los archivos y módulos del servidor, incluyendo todo el sistema de respaldo que estaba asociado con la red.

Después de que este malware se instala en su sistema, es decir, cuando el archivo zip se extrae y está asociado con el ransomware, entonces hay tres módulos llamados “tycoon”. Por eso BlackBerry nombró al malware como Ransomware Tycoon.

También lee: ¿Necesitamos antivirus en nuestro uso diario?

Aquí hay una nota del recién nacido pero tan peligroso Ransomware Tycoon:

Conclusión

Para prevenir que el sistema del usuario sea afectado por tal malware, las organizaciones deben asegurarse de que están utilizando contraseñas fuertes y también asegurarse de que las cuentas que necesitan estos puertos no tengan credenciales predeterminadas. Además, aplicar inmediatamente todos los parches de seguridad actualizados y disponibles también puede reducir el riesgo, ya que hacer esto empleará a los atacantes en vulnerabilidades.

También lee: ¿Por qué Anti-Malware sobre Antivirus o viceversa?

[ Fuente ], [ Vía ]