Los expertos en seguridad han advertido que una nueva variedad de ransomware está dirigida a los sistemas Linux y Windows en varias industrias.
El malware, denominado Tycoon por los investigadores del Equipo de Investigación e Inteligencia de BlackBerry en asociación con los Servicios de Respuesta Cibernética del Reino Unido de KPMG que lo descubrieron, está operando lo que parecen ser ataques altamente dirigidos a las PYMES en las industrias de software y educación.
El ransomware es aún más peligroso, ya que no solo afecta a una familia de dispositivos, sino también a Windows y Linux, que se utilizan ampliamente en las industrias seleccionadas.
Tycoon ransomware
El equipo observó que Tycoon parece implementarse manualmente, con los operadores apuntando a sistemas individuales y conectando un servidor RDP. Una vez que un objetivo había sido identificado e infiltrado usando credenciales de administrador local, el atacante deshabilitó un antivirus e instaló una utilidad de hacker como servicio ProcessHacker.
El ransomware toma la forma de un entorno de tiempo de ejecución Java (JRE) troyanizado que escapa a la detección mediante el respaldo en un oscuro formato de imagen Java. Las configuraciones para las opciones de ejecución de archivos de imagen (IFEO) se almacenan en el registro de Windows, aparentemente para dar a los desarrolladores una opción para depurar su software mediante la conexión de una aplicación de depuración durante la ejecución de una aplicación de destino.
Una vez que el ransomware se ejecuta en un sistema, el malware procedería a cifrar los servidores de archivos y exigiría un rescate de las víctimas. BlackBerry señaló que la versión maliciosa de JRE utilizada contenía versiones de Windows y Linux, lo que sugiere que los delincuentes querían apuntar a múltiples sistemas y servidores.
"Los escritores de malware buscan constantemente nuevas formas de volar bajo el radar", escribió BlackBerry en una publicación de blog explicando los hallazgos. "Se están alejando lentamente de la ofuscación convencional y están cambiando hacia lenguajes de programación poco comunes y formatos de datos oscuros. Ya hemos visto un aumento sustancial en el ransomware escrito en lenguajes como Java y Go. Esta es la primera muestra que hemos encontrado que abusa específicamente el formato JIMAGE de Java para crear una compilación JRE maliciosa personalizada ".
"Tycoon ha estado en libertad durante al menos seis meses, pero parece haber un número limitado de víctimas. Esto sugiere que el malware puede estar muy dirigido. También puede ser parte de una campaña más amplia que utiliza varias soluciones diferentes de ransomware, dependiendo en lo que se percibe más exitoso en entornos específicos ".
Fuente: https://www.techradar.com/
0 Comentarios