Новий зразок шифрувальника здатний атакувати як Windows, так і Linux. Кіберзлочинці використовують цю шкідливу програму в цільових атаках приблизно з грудня 2019 року.
Дослідники в області кібербезпеки назвали вимагач Tycoon (через рядки в коді). Згідно зі спостереженнями, оператори Tycoon вкрай ретельно підходять до вибору мети.
При цьому в ході атак використовується досить незвичайний шкідливий спосіб розгортання , який допомагає зловмисникам залишатися непоміченими всередині скомпрометованої мережі.
Основні цілі вимагача Tycoon – розробники софту і організації зі сфери освіти. Детально діяльність шкідливої програми описали дослідники з BlackBerry спільно з аналітиками ІБ-сфери з KPMG.
Що виділяє Tycoon на тлі інших схожих здирників – він написаний на Java, розгортається, як шкідлива Java Runtime Environment і збирається в Jimage-файл, що допомагає приховати шкідливу складову.
Команда BlackBerry зазначає, що це незвичайна поведінка, говорить про хорошу підготовку кіберзлочинців. Проте спосіб проникнення Tycoon досить банальний – оператори шукають відкриті в Мережі RDP-сервери.
Проникнувши в мережу, вимагач шифрує важливі файли, додаючи до них одне з трьох розширень – .redrum, .grinch або .thanos. За повернення важливої інформації оператори вимагають викуп у біткоінах.
