Um ransomware multiplataforma desenvolvido em Java recentemente descoberto usa um arquivo de imagem Java (ImageJ) para evitar a detecção, relatam pesquisadores de segurança da BlackBerry. Apelidado de Tycoon, o ransomware parece ser usado apenas em ataques altamente direcionados, dado o baixo número de vítimas e o mecanismo de entrega empregado.
Diferentemente dos ataques de vírus de computador em massa, cujo objetivo é infectar o maior número possível de computadores, os ataques direcionados têm como foco companhias específicas ou grupos de usuários determinados e utilizam como base o comportamento de navegação na internet e de comunicação para facilitar a invasão.
Os operadores do ransomware tinham como alvo pequenas e médias empresas e instituições dos setores de educação e software, dizem os pesquisadores. Em um caso, eles primeiro comprometeram um servidor intermediário de protocolo de desktop remoto voltado para a internet e o usaram para comprometimento adicional.
A investigação do incidente revelou que os invasores usaram injeção de opções de execução de arquivo de imagem (IFEO) para persistência, que executou uma backdoor junto com o recurso Microsoft Windows On-Screen Keyboard (OSK) do sistema operacional, que procederam à desativação do antimalware e a maioria de seus arquivos tinha carimbo de data/hora.
Depois de estabelecer uma posição segura no ambiente, os invasores executaram o módulo Java do ransomware, que criptografou todos os servidores de arquivos conectados à rede, incluindo sistemas de backup.
O ransomware é implantado como um arquivo ZIP contendo uma versão trojanizada do Java Runtime Environment (JRE) e é compilado em um arquivo de imagem Java (ImageJ). Esse formato de arquivo é usado para armazenar imagens JRE customizadas e é usado pelo Java Virtual Machine (JVM) em tempo de execução.
Introduzido pela primeira vez no Java versão 9, o formato de arquivo é pouco documentado e raramente usado pelos desenvolvedores, explica a BlackBerry.
Veja isso
Ransomware Play vazou 65 mil documentos do governo suíço
Ransomware Rhysida já está com descriptografador disponível
Os pesquisadores de segurança também descobriram que o malware foi projetado para atingir sistemas Windows e Linux. A configuração do ransomware inclui o endereço de e-mail do invasor, a chave pública RSA, o conteúdo da nota de resgate, uma lista de exclusões e uma lista de comandos shell a serem executados. Quando executado, o malware realiza um conjunto de comandos shell especificados no arquivo de configuração.
O Tycoon exclui os arquivos originais após a criptografia e também os sobrescreve para evitar a recuperação. O utilitário incorporado do Windows cipher.exe é explorado para esta tarefa. Durante a criptografia, o malware ignora partes de arquivos maiores para acelerar o processo, o que resulta em danos e inutilização desses arquivos.
O Tycoon está à solta há pelo menos seis meses, mas parece haver um número limitado de vítimas. Isso sugere que o malware pode ser altamente direcionado. Também pode fazer parte de uma campanha mais ampla que utiliza diversas soluções de ransomware diferentes, dependendo do que for considerado mais bem-sucedido em ambientes específicos, observa a BlackBerry.
O blog da Blackberry traz mais detalhes sobre como opera o Tycoon. Para acessá-lo clique aqui.
