Новий Java-шифрувальник атакує Windows і Linux в цільових кіберопераціях

Новий зразок шифрувальника здатний атакувати як Windows, так і Linux. Кіберзлочинці використовують цю шкідливу програму в цільових атаках приблизно з грудня 2019 року.

Дослідники в області кібербезпеки назвали вимагач Tycoon (через рядки в коді). Згідно зі спостереженнями, оператори Tycoon вкрай ретельно підходять до вибору мети.

При цьому в ході атак використовується досить незвичайний шкідливий спосіб розгортання , який допомагає зловмисникам залишатися непоміченими всередині скомпрометованої мережі.

Основні цілі вимагача Tycoon – розробники софту і організації зі сфери освіти. Детально діяльність шкідливої програми описали дослідники з BlackBerry спільно з аналітиками ІБ-сфери з KPMG.

Що виділяє Tycoon на тлі інших схожих здирників – він написаний на Java, розгортається, як шкідлива Java Runtime Environment і збирається в Jimage-файл, що допомагає приховати шкідливу складову.

Команда BlackBerry зазначає, що це незвичайна поведінка, говорить про хорошу підготовку кіберзлочинців. Проте спосіб проникнення Tycoon досить банальний – оператори шукають відкриті в Мережі RDP-сервери.

Проникнувши в мережу, вимагач шифрує важливі файли, додаючи до них одне з трьох розширень – .redrum, .grinch або .thanos. За повернення важливої ​​інформації оператори вимагають викуп у біткоінах.