Tycoon è il nuovo ransomware per Linux e Windows che usa metodi insoliti

Avatar utente

Topic Author
cmo
Connesso: No
User theme: Dark
Messaggi: 42
Iscritto il: mar apr 28, 2020 4:11 am

Tycoon è il nuovo ransomware per Linux e Windows che usa metodi insoliti

Messaggio da cmo »

Una collaborazione tra i ricercatori BlackBerry e gli analisti di sicurezza di KPMG ha portato alla luce una nuova forma di ransomware che prende di mira sistemi Linux e Windows sfruttando un modus operandi abbastanza insolito e che pare utilizzato contro obiettivi scelti in maniera particolarmente selettiva.

Tycoon, questo il nome dato al malware e tratto da alcuni riferimenti presenti nel codice, pare essere in circolazione sin dal mese di dicembre 2019 mettendo nel mirino principalmente realtà operanti nel campo della formazione/istruzione e società software. La particolarità del malware è la sua scrittura in codice Java, l'utilizzo di Java Runtime Environment e la compilazione in un Java Image File per nascondere la sua natura e la sua attività dannosa.

Java è molto raramente usato per scrivere malware endpoint poiché richiede la presenza di Java Runtime Enviroment affinché il codice possa operare. Image files sono raramente usati per attacchi malware. In questo però si nota una recente tendenza dei criminali a orientarsi verso linguaggi di programmazione non comuni e formati dati inusuali. In questo caso gli attaccanti non hanno avuto bisogno di oscurare il loro codice, ma nondimeno sono stati capaci di raggiungere i loro obiettivi.

Immagine

La prima fase dell'attacco di Tycoon segue comunque canoni ordinari, con l'intrusione iniziale che avviene tramite un server RDP non sicuro esposto sulla rete. Si tratta di un vettore d'attacco piuttosto comune per le campagne malware, talvolta in congiunzione con la possibilità di sfruttare password deboli o già compromesse in azioni precedenti. Una volta all'interno della rete bersaglio, gli attaccanti riescono a mantenere persistenza utilizzando le impostazioni Image File Execution Options che spesso sono usate a scopi di debug. Gli attaccanti sfruttano quindi i privilegi di accesso per disabilitare le eventuali misure anti-malware usando ProcessHacker per impedire la rimozione dell'attacco.

Una volta stabilitosi all'interno di una rete, Tycoon provvede a crittografare i file che incontra, salvandoli con estensioni come .redrum, .grinch e .thanos. Proprio questi elementi suggeriscono che Tycoon possa avere delle attinenze con un altra forma di ransomware, Dharma: non solo i nomi dei file cifrati, ma anche gli indirizzi email a cui inviare il riscatto e il testo della richiesta di riscatto. Come spesso accade in queste situazioni, il pagamento del riscatto è richiesto in bitcoin ed il prezzo dipende dalla rapidità con cui la vittima si mette in contatto via email con i criminali. Il fatto che la campagna sia ancora in corso da dicembre suggerisce che la mano dietro a Tycoon stia avendo successo ad estorcere i pagamenti alle vittime.

Alcune efficaci misure di prevenzione possono essere messe in atto per ridurre significativamente il rischio di essere colpiti da un attacco di questo genere. Anzitutto aprire verso l'esterno solamente le porte assolutamente necessarie dei server RDP, e in secondo luogo assicurarsi che gli account autorizzati ad accedere a queste porte non usino credenziali di default o password fragili.

Vale sempre il consiglio di applicare il più prontamente possibile le patch di sicurezza di software e sistemi hardware, neutralizzando in questo modo la possibilità di sfruttamento di vulnerabilità note da parte dei criminali. Non da ultimo un regolare backup dei dati, gestito e conservato in maniera affidabile: se un ransomware dovesse fare scempio delle informazioni aziendali queste potrebbero essere recuperate con un impatto minimo e senza doversi piegare alle estorsioni dei criminali.