Este Novo Ransomware Tycoon Atacando PC com Windows

Um novo ransomware Tycoon, descoberto de forma única, está atacando PCs com Windows. Este malware recém-identificado é chamado de Tycoon após referências encontradas no código. Este ransomware Tycoon foi descoberto pela primeira vez em dezembro de 2019 e parece que ele atua para os cibercriminosos que são altamente criteriosos na escolha de seus alvos.

Este vírus recém-descoberto, ransomware Tycoon, foi projetado com um algoritmo tão avançado que, utilizando essas técnicas de implantação incomuns, pode permanecer oculto em redes comprometidas. Este malware foi identificado e explicado pelos pesquisadores da BlackBerry que estavam trabalhando com analistas de segurança da KPMG.

Este Novo Ransomware Tycoon Atacando PC com Windows

É um tipo fenomenal de ransomware que é escrito em JAVA, que pode ser implantado em seu sistema através do Java Runtime Environment (JRE) e é compilado em uma imagem Java chamada Jimage para ocultar o propósito malicioso.

Esses são ambos métodos únicos. Java é muito raramente usado para escrever malware de endpoint porque requer que o Java Runtime Environment esteja disponível para executar o código. Arquivos de imagem são raramente usados para ataques de malware. Os atacantes estão mudando para linguagens de programação incomuns e formatos de dados obscuros. Aqui, os atacantes não precisaram ofuscar seu código, mas ainda assim foram bem-sucedidos em alcançar seus objetivos; o ransomware pode ser implementado em linguagens de alto nível como Java sem ofuscação e executado de maneiras inesperadas.

Eric Milam, VP de pesquisa e inteligência da BlackBerry

Leia também: Não Atualize para a Atualização de Maio do Windows 10!

Como ele ataca?

• Para alcançar resistência na máquina da vítima, os atacantes usaram um método chamado injeção de Opções de Execução de Arquivo de Imagem (IFEO). O registro do Windows armazena as configurações IFEO. Através dessas configurações, os desenvolvedores têm a opção de depurar o software através da anexação de um aplicativo de depuração durante a execução de um aplicativo alvo.
• Em seguida, um backdoor foi executado com o Teclado na Tela do Microsoft Windows.
• Após isso, os atacantes mudam a senha dos servidores do Active Directory desativando a solução anti-malware da organização através da utilidade Process Hacker.
• Isso deixa a vítima impotente e ela não consegue acessar seu próprio sistema.
• A maioria dos arquivos dos ciberatacantes foi carimbada com data e hora, incluindo as Bibliotecas Java e os scripts de execução; todos esses arquivos têm o mesmo carimbo de data e hora de 11 de abril de 2020 às 15:16:22.
• Eventualmente, os atacantes executaram com sucesso o último módulo do ransomware Tycoon em Java e criptografaram todos os arquivos e módulos do servidor, incluindo todo o sistema de backup associado à rede.

Depois que este malware é instalado em seu sistema, ou seja, quando o arquivo zip associado ao ransomware é extraído, então existem três módulos chamados “tycoon”. É por isso que a BlackBerry nomeou o malware como Ransomware Tycoon.

Leia também: Precisamos de Antivírus em Nosso Uso Diário?

Aqui está uma nota do recém-nascido, mas tão perigoso Ransomware Tycoon:

Conclusão

Para prevenir que o sistema dos usuários seja afetado por tais malwares, as organizações devem garantir que estão usando senhas fortes e também certificar-se de que as contas que precisam desses ports não tenham credenciais padrão. Além disso, aplicar imediatamente todos os patches de segurança atualizados e disponíveis também pode reduzir o risco, pois fazer isso expõe os atacantes a vulnerabilidades.

Leia também: Por que Anti-Malware em vez de Antivírus ou Vice-Versa?

[Fonte], [Via]