Новый Java-шифровальщик атакует Windows и Linux в целевых кибероперациях

Новый Java-шифровальщик атакует Windows и Linux в целевых кибероперациях

5.06.20
Новый образец шифровальщика способен атаковать как Windows, так и Linux. Киберпреступники используют эту вредоносную программу в целевых атаках приблизительно с декабря 2019 года.

Исследователи в области кибербезопасности назвали вымогатель Tycoon (из-за строчки в коде). Согласно наблюдениям, операторы Tycoon крайне тщательно подходят к выбору цели.

При этом в ходе атак используется довольно необычный способ развёртывания вредоноса, который помогает злоумышленникам оставаться незамеченными внутри скомпрометированной сети.

Основные цели вымогателя Tycoon — разработчики софта и организации из сферы образования. Подробно деятельность вредоноса описали исследователи из BlackBerry совместно с аналитиками ИБ-сферы из KPMG.

Что выделяет Tycoon на фоне других похожих вымогателей — он написан на Java, разворачивается как вредоносная Java Runtime Environment и собирается в Jimage-файл, что помогает скрыть вредоносную составляющую.

Команда BlackBerry отмечает, что это необычное поведение, говорящее о хорошей подготовке киберпреступников. Тем не менее способ проникновения Tycoon достаточно банален — операторы ищут открытые в Сеть RDP-серверы.

Проникнув в сеть, вымогатель шифрует важные файлы, добавляя к ним одно из трёх расширений — .redrum, .grinch или .thanos. За возврат важной информации операторы требуют выкуп в биткоинах.

Источник: Новый Java-шифровальщик атакует Windows и Linux в целевых кибероперациях

 

[Candellmans]

5 копеек к материалу

6.06.20
Исследователи полагают, что Tycoon использовался для направленных и весьма редких атак, о чем свидетельствуют число его жертв и используемый механизм доставки. Так, вымогатель явно предназначался для атак на предприятия малого и среднего бизнеса, а также на образовательные учреждения и разработчиков ПО.

«Использование Java и JIMAGE уникальны. Java очень редко используется для написания вредоносных программ для эндпоинтов, поскольку для выполнения кода потребуется Java Runtime Environment . Файлы образов тоже редко используются для атак малвари», — отмечают эксперты BlackBerry.

При этом начинается атака вполне обычно: изначальная компрометация осуществляется через небезопасные RDP-серверы, «видимые» из интернета. Но расследование показало, что затем злоумышленники используют инъекцию Image File Execution Options (IFEO) для обеспечения устойчивого присутствия в системе, запускают бэкдор наряду с Microsoft Windows On-Screen Keyboard (OSK), а также отключают антивирусные продукты, используя ProcessHacker.



Закрепившись в сети компании, злоумышленники запускают вымогательский модуль на Java, который шифрует все файловые серверы, подключенные к сети, включая системы резервного копирования.

Сам шифровальщик разворачивается из ZIP-архива, содержащего вредоносную сборку Java Runtime Environment (JRE) и скомпилированный образ JIMAGE. Данный формат файлов обычно применяется для хранения кастомных образов JRE и используется Java Virtual Machine. Исследователи отмечают, что этот формат файлов, впервые представленный наряду с Java 9, слабо документирован и в целом редко используется разработчиками.



Также отмечается, что Tycoon удаляет исходные файлы после шифрования, а также перезаписывает их, чтобы точно предотвратить восстановление информации. Для этой задачи используется штатная Windows-утилита cipher.exe. Кроме того, во время шифрования малварь пропускает части больших файлов, чтобы ускорить процесс, что приводит к повреждению этих файлов и невозможности их использования.

При этом каждый файл шифруется с использованием нового ключа AES. Вымогатель использует асимметричный алгоритм RSA для шифрования сгенерированных ключей AES, то есть для дешифрования информации потребуется приватный RSA-ключ злоумышленника.

«Однако одна из жертв, обратившаяся за помощью на форум Bleeping Computer, опубликовала приватный ключ RSA, предположительно полученный из расшифровщика, который жертва приобрела у злоумышленников. Этот ключ успешно сработал для расшифровки некоторых файлов, пострадавших от наиболее ранней версии вымогателя Tycoon, которая добавляла расширение .redrum к зашифрованным файлам», — пишут эксперты, но предупреждают, что, к сожалению, для зашифрованных файлов с расширениями .grinch и .thanos данная тактика уже не работает.

Также исследователи выявили возможную связь с между Tycoon и вымогателем Dharma/CrySIS. Теория специалистов основана на совпадении адресов электронной почты, схожести текстов из записок с требованием выкупа, а также совпадениях в именах, которые присваиваются зашифрованным файлам.

Хакер.ру