По крайней мере, с декабря 2019 года новый штамм вымогателей, управляемых человеком, используется в целевых атаках, нацеленных на малые и средние организации в сфере программного обеспечения и образования. Вымогатели, названные Tycoon исследователями в области безопасности вместе с BlackBerry Threat Intelligence и KPMG, представляют собой многоплатформенное вредоносное ПО на основе Java, которое можно использовать для шифрования как устройств Windows, так и Linux.

Tycoon развертывается вручную его операторами в форме «ZIP-архива, содержащего сборку Trojanized Java Runtime Environment (JRE)» после того, как они проникают в сети своих жертв, используя уязвимые и открытые для доступа серверы RDP в качестве трамплина. Хотя Tycoon использовался в интернет-системе, по крайней мере, в течение последних шести месяцев, он, по-видимому, использует его для целенаправленных атак, учитывая ограниченное количество жертв до сих пор.

«Перекрытие некоторых адресов электронной почты, а также текст примечания о выкупе и соглашения об именах, используемых для зашифрованных файлов, указывают на связь между Tycoon и Dharma / CrySIS Ransomware», - обнаружили исследователи Blackberry / KPMG .

Бэкдор системы и анти-вредоносные программы отключены

«Вымогатели были развернуты в ходе целенаправленной атаки на организацию, где системные администраторы были заблокированы из своих систем после атаки на их контроллер домена и файловые серверы», - обнаружили исследователи при анализе атаки вымогателей, которая имела место в апреле 2020 года.

«После проведения судебных расследований зараженных систем стало очевидно, что первоначальное вторжение произошло через Интернет, обращенный к RDP-серверу».

Хронология атаки

Хотя найти подсказки о действиях злоумышленников после использования серверов RDP было невозможно, поскольку они уже были восстановлены, проверка зашифрованных устройств показала, что:

• Внедрение опций исполнения файла изображения (IFEO) использовалось, чтобы получить постоянство и прикрепить черный ход к функции экранной клавиатуры Microsoft Windows (OSK).
• Пароли Active Directory были изменены, чтобы запретить доступ к зараженным серверам.
• Решение для защиты от вредоносных программ было отключено с помощью ProcessHacker.
• После подготовки всего к последнему этапу злоумышленники зашифровали все файловые серверы и сетевые резервные копии, развернув модуль вымогателей Java.

Вымогатель использует формат Java JIMAGE для создания пользовательских вредоносных сборок JRE, выполняемых с помощью сценария оболочки. Поскольку эта вредоносная сборка JRE содержит как пакетный файл Windows, так и оболочку Linux, исследователи считают, что операторы Tycoon могут использовать вымогателей для шифрования серверов Linux.

Сценарии запуска Tycoon

Нет бесплатного расшифровщика для файлов, зашифрованных Tycoon Ransomware.
Tycoon Ransomware шифрует файлы жертв, используя «алгоритм AES-256 в режиме Galois / Counter (GCM) 3 с 16-байтовым тегом аутентификации GCM, который обеспечивает целостность данных».

«Из-за использования асимметричного алгоритма RSA для шифрования надежно сгенерированных ключей AES для расшифровки файла требуется получение личного ключа RSA злоумышленника. Факторинг 1024-битного ключа RSA, хотя теоретически возможен, еще не достигнут и потребует исключительных вычислительных мощностей».

Один из многих вручную развернутых штаммов вымогателей

В прошлом месяце Microsoft также поделилась информацией о PonyFinal, другом Java-вымогателе на основе Java, который использовался для шифрования всей сети после использования сервера управления системами жертвы и нацеливания на конечные точки с уже установленной Java Runtime Environment (JRE).

Тем не менее, «в некоторых случаях злоумышленники внедряют Java Runtime Environment (JRE), для запуска которой необходим вымогатель PonyFinal на основе Java», - заявляет Microsoft. PonyFinal Ransomware также шифрует файлы в определенную дату и время, и он развертывается в конце управляемых человеком кампаний вымогателей, которые, как известно, остаются бездействующими и терпеливо ждут наиболее подходящего времени для удара.

Согласно исследованиям Редмонда, помимо Tycoon и PonyFinal, в список управляемых человеком вымогателей входят также RobbinHood, Maze, Vatet loader, REvil (Sodinokibi), NetWalker, Paradise, RagnarLocker, MedusaLocker и LockBit.