Ce nouveau ransomware Tycoon attaquant les PC Windows

Un nouveau ransomware Tycoon, découvert de manière unique, attaque les PC Windows. Ce malware nouvellement identifié est nommé Tycoon d’après des références trouvées dans le code. Ce ransomware Tycoon a été découvert pour la première fois en décembre 2019 et semble fonctionner pour des cybercriminels qui sont très scrupuleux dans le choix de leurs cibles.

Ce virus ransomware Tycoon nouvellement fondé a été conçu avec un algorithme si avancé qu’en utilisant ces techniques de déploiement peu communes, il peut rester caché sur des réseaux compromis. Ce malware a été identifié et expliqué par des chercheurs de BlackBerry qui ont travaillé avec des analystes de sécurité de KPMG.

Ce nouveau ransomware Tycoon attaquant les PC Windows

C’est un type de ransomware phénoménal qui est écrit en JAVA, qui peut être déployé dans votre système via l’environnement d’exécution Java (JRE) et qui est compilé dans une image Java appelée Jimage pour cacher son but malveillant.

Ce sont deux méthodes uniques. Java est très rarement utilisé pour écrire des malwares de point de terminaison car il nécessite que l’environnement d’exécution Java soit capable d’exécuter le code. Les fichiers image sont rarement utilisés pour des attaques de malware. Les attaquants se tournent vers des langages de programmation peu communs et des formats de données obscurs. Ici, les attaquants n’avaient pas besoin d’obscurcir leur code mais ont néanmoins réussi à atteindre leurs objectifs. Le ransomware peut être implémenté dans des langages de haut niveau tels que Java sans obfuscation et exécuté de manière inattendue.

Eric Milam, VP pour la recherche et l’intelligence chez BlackBerry

Aussi lu : Ne mettez pas à jour vers la mise à jour de mai de Windows 10 !

Comment cela attaque-t-il ?

• Pour atteindre une endurance sur la machine de la victime, les attaquants ont utilisé une méthode appelée injection d’options d’exécution de fichiers image (IFEO). Le registre Windows stocke les paramètres IFEO. Grâce à ces paramètres, les développeurs ont la possibilité de déboguer le logiciel en attachant une application de débogage pendant l’exécution d’une application cible.
• Ensuite, une porte dérobée a été exécutée avec le clavier à l’écran de Microsoft Windows.
• Après cela, les attaquants changent le mot de passe des serveurs Active Directory en désactivant la solution anti-malware de l’organisation via l’utilitaire Process Hacker.
• Cela laisse la victime sans défense et elle est incapable d’accéder à son propre système.
• La plupart des fichiers des cyberattaquants étaient horodatés, y compris les bibliothèques Java et les scripts d’exécution, tous ces fichiers ont le même horodatage du 11 avril 2020 à 15:16:22.
• Finalement, les attaquants ont réussi à exécuter le dernier module de ransomware Tycoon Java et à chiffrer tous les fichiers et modules du serveur, y compris tout le système de sauvegarde associé au réseau.

Après que ce malware soit installé dans votre système, c’est-à-dire lorsque le fichier zip associé au ransomware est extrait, il y a alors trois modules nommés “tycoon”. C’est pourquoi BlackBerry a nommé le malware Ransomware Tycoon.

Aussi lu : Avons-nous besoin d’un antivirus dans notre utilisation quotidienne ?

Voici une note du nouveau mais si dangereux ransomware Tycoon :

Conclusion

Pour prévenir le système des utilisateurs contre de tels malwares, les organisations devraient s’assurer qu’elles utilisent des mots de passe forts et également s’assurer que les comptes qui nécessitent ces ports ne disposent pas de crédentials par défaut. De plus, appliquer immédiatement tous les correctifs de sécurité mis à jour et disponibles peut également réduire le risque, car cela exposera les attaquants à des vulnérabilités.

Aussi lu : Pourquoi l’anti-malware plutôt que l’antivirus ou vice-versa ?

[Source], [Via]