Questo Nuovo Ransomware Tycoon Attacca i PC Windows

Un nuovo ransomware Tycoon scoperto in modo unico sta attaccando i PC Windows, questo malware recentemente identificato è stato chiamato Tycoon dopo riferimenti trovati nel codice. Questo ransomware tycoon è stato scoperto per la prima volta a dicembre 2019 e sembra che funzioni per i criminali informatici che sono molto scrupolosi nella scelta dei loro obiettivi.

Questo virus ransomware tycoon recentemente fondato è stato progettato con un algoritmo così avanzato, che utilizzando quelle tecniche di distribuzione poco comuni può rimanere nascosto su reti compromesse. Questo malware è stato identificato e spiegato dai ricercatori di BlackBerry che stavano lavorando con analisti di sicurezza in KPMG.

Questo Nuovo Ransomware Tycoon Attacca i PC Windows

È un tipo fenomenale di ransomware scritto in JAVA, che può essere distribuito nel tuo sistema attraverso il Java Runtime Environment (JRE) ed è compilato in un’immagine Java chiamata Jimage per nascondere lo scopo malevolo.

Questi sono entrambi metodi unici. Java è molto raramente usato per scrivere malware per endpoint perché richiede il Java Runtime Environment per poter eseguire il codice. I file immagine sono raramente usati per attacchi malware. Gli attaccanti si stanno spostando verso linguaggi di programmazione poco comuni e formati di dati oscuri. Qui, gli attaccanti non avevano bisogno di oscurare il loro codice ma sono stati comunque in grado di raggiungere i loro obiettivi, il ransomware può essere implementato in linguaggi di alto livello come Java senza offuscamento ed eseguito in modi inaspettati.

Eric Milam, VP per la ricerca e l’intelligence di BlackBerry

Leggi anche: Non aggiornare a Windows 10 Aggiornamento di Maggio!

Come attacca?

• Per ottenere resistenza sulla macchina della vittima, gli attaccanti hanno utilizzato un metodo chiamato Image File Execution Options (IFEO) injection. Il registro di Windows memorizza le impostazioni IFEO. Attraverso queste impostazioni, gli sviluppatori hanno la possibilità di eseguire il debug del software attraverso l’attacco di un’applicazione di debug durante l’esecuzione di un’applicazione target.
• Poi è stata eseguita una backdoor con la Tastiera su Schermo di Microsoft Windows.
• Dopo questi attaccanti cambiano la password dei server Active Directory disabilitando la soluzione anti-malware dell’organizzazione attraverso l’utilità Process Hacker.
• Questo lascia la vittima impotente e non è in grado di accedere al proprio sistema.
• La maggior parte dei file degli attaccanti informatici erano timestampati, comprese le librerie Java e gli script di esecuzione, tutti quei file hanno lo stesso timestamp dell’11 aprile 2020 alle 15:16:22.
• Alla fine, gli attaccanti hanno eseguito con successo l’ultimo modulo di ransomware tycoon Java e hanno crittografato tutti i file e i moduli del server, inclusi tutti i sistemi di backup associati alla rete.

Dopo che questo malware è installato nel tuo sistema, cioè quando il file zip associato al ransomware viene estratto, ci sono tre moduli chiamati “tycoon”. Ecco perché Blackberry ha chiamato il malware Ransomware Tycoon.

Leggi anche: Abbiamo bisogno di Antivirus nel nostro uso quotidiano?

Ecco una nota dal neonato ma così pericoloso Ransomware Tycoon:

Conclusione

Per prevenire il sistema degli utenti da tali malware, le organizzazioni dovrebbero assicurarsi di utilizzare password forti e anche assicurarsi che gli account che necessitano di queste porte non abbiano credenziali predefinite. Inoltre, applicare immediatamente tutte le patch di sicurezza aggiornate e disponibili può anche ridurre il rischio poiché fare ciò porterà gli attaccanti a vulnerabilità.

Leggi anche: Perché Anti-Malware sopra Antivirus o Viceversa?

[Fonte], [Via]