Security-onderzoekers van BlackBerry en KPMG hebben een nieuwe ransomware-vorm gevonden, genaamd Tycoon. De ransomware gebruiken een Java image format waardoor de aanval lastig te detecteren is.
Tycoon bevat code waarmee het kan draaien op Windows- en Linux-endpoints. De ransomware worden gebruikt om vooral kleinere bedrijven aan te vallen, waarbij alle data wordt versleuteld en een dwangsom wordt geëist om gegevens weer toegankelijk te maken. Volgens BlackBerry is het mogelijk dat in eerdere varianten van de ransomware de encryptiesleutel hergebruikt is, waardoor de kans bestaat dat er niet betaald hoeft te worden om weer toegang te krijgen.
Voordat Tycoon kan worden uitgerold op een systeem, wordt door de hackers eerst toegang verkregen. De gebruikte manier zou Image File Execution Options Injection zijn. Deze functie is bedoeld om ontwikkelaars de mogelijkheid te geven hun software te debuggen door naast het runnen van een bepaalde applicatie ook een debugging app te runnen. Zo kan het openen van task manager tegelijkertijd ook een ander proces openen, in het geval van de Tycoon-hackers het on-screen toetsenbord.
Nadat een backdoor was gecreëerd werd de beveiliging buitenwerking gesteld en daarna de ransomware uitgerold. Tycoon zou in een enkele .ZIP-archive komen, met daarin een gemodificeerde Java Runtime Environment-build. De malware zelf was verpakt in een enkele Java Image (JIMAGE)-file; een format dat nagenoeg nooit wordt gebruikt. De afbeelding zou vervolgens wordt gedecompiled, waarna het malafide script daadwerkelijk kan worden gestart. Onderzoekers vonden zowel een Windows als een Linux-versie van het script.
De onderzoekers menen dat de ransomware tenminste zes maanden actief is, maar dat de hoeveelheid getroffen bedrijven relatief klein is. Wel zou het de eerste keer zijn dat een JIMAGE wordt gebruikt om een malafide JRE-build te maken. Iets wat volgens de onderzoekers bijdraagt aan de gedachte dat hackers constant op zoek zijn naar nieuwe manieren om onder de radar te blijven.
14 uur geleden
