Nowa odmiana oprogramowania ransomware o nazwie Tycoon stara się wkroczyć do świata cyberprzestępczości, wykorzystując mało znany format obrazów Java jako medium infekcji.
Według naukowców z BlackBerry Cylance oprogramowanie ransomware jest umieszczone w spreparowanej wersji środowiska Java Runtime Environment (JRE). Jak twierdzą naukowcy, do tej pory jej ofiary w dużej mierze to małe i średnie organizacje z branży edukacyjnej, które dały się nabrać na specjalnie przygotowany phishing.
Malware Tycoon działa od co najmniej sześciu miesięcy, ale wydaje się, że liczba ofiar nie jest duża. Sugeruje to, że złośliwe oprogramowanie może być wysoce ukierunkowane. Może to także część szerszej kampanii wykorzystującej kilka różnych rozwiązań ransomware, w zależności od tego, co jest postrzegane jako bardziej skuteczne w określonych środowiskach.
Odkrywcy i badacze ransomware opisali przypadek Tycoon na swoim blogu tutaj.
Współpracując z brytyjskimi usługami Cyber Response, badacze przeanalizowali atak ukierunkowany przy użyciu nieznanego wcześniej złośliwego oprogramowania na kontrolerze domeny i serwerach plikowych organizacji (początkowe włamanie miało miejsce za pośrednictwem internetowego serwera RDP typu jump-server). Powiedzieli, że analiza kryminalistyczna ostatniego ataku wykazała, że oprogramowanie ransomware wykorzystuje „niezwykłe i godne uwagi” techniki.
Co najważniejsze, oprogramowanie ransomware Tycoon jest dostarczane na zaatakowaną maszynę w postaci skompresowanego archiwum .ZIP zawierającego skompilowaną wersję JRE (Java Runtime Environment). Złośliwe oprogramowanie jest skompilowane w plik obrazu Java (JIMAGE). JIMAGE to specjalny format plików używany do przechowywania plików klas i zasobów wielu modułów Java (w tym obrazów) w celu obsługi niestandardowego środowiska JRE. Naukowcy twierdzą, że jest rzadko używany przez programistów – w przeciwieństwie do swojego kuzyna, popularnego formatu Java Archive (JAR).
Po dostarczeniu ładunku, oprogramowanie ransomware jest uruchamiane przez wykonanie skryptu powłoki, który startuje główny złośliwy moduł Java w zależności od infekowanego systemu – Windows lub Linux. Malware posiada wpisaną na sztywno konfiguracje zapisaną w pliku BuildConfig, który przechowuje: adres e-mail atakującego, klucz publiczny RSA, treść noty o okupie, listę wykluczeń oraz zestaw poleceń powłoki do wykonania. Te ostatnie polecenia zawierają instrukcje dotyczące szyfrowania plików obecnych na zainfekowanym komputerze.
Listę ścieżek do zaszyfrowania atakujący może przekazać jako parametr lub złośliwe oprogramowanie wygeneruje listę wszystkich ścieżek od rootowej w systemie. Dla każdego elementu na liście ścieżek zostanie utworzony osobny wątek szyfrowania. Po zakończeniu procesu szyfrowania złośliwe oprogramowanie zapewni, że plików nie będzie można odzyskać, zastępując usunięte pliki w każdej ścieżce. Do tego zadania używa wbudowanego narzędzia Windows o nazwie cipher.exe. Każdy plik jest szyfrowany innym kluczem AES, a następnie szyfrowany za pomocą klucza publicznego atakującego (RSA-1024).
Ze względu na zastosowanie asymetrycznego algorytmu RSA do szyfrowania bezpiecznie wygenerowanych kluczy AES, odszyfrowanie pliku wymaga uzyskania prywatnego klucza RSA atakującego. W przypadku klucza o długości 1024 bitów moc obliczeniowa potrzebna do jego złamania jest nieosiągalna.
Analiza specjalistów wykazała kilka innych nowatorskich podejść w Tycoon. Na przykład zastosowanie Image File Execution Option (IFEO) do wstrzyknięcia kodu. Ponadto warto wspomnieć, że atakujący odpowiedzialni za ransomware Tycoon wyłączyli rozwiązanie anty-malware w organizacji za pomocą narzędzia ProcessHacker oraz zmienili hasła w Active Directory, aby osoby nie miały możliwości szybkiej reakcji na atak.
Twórcy szkodliwego oprogramowania nieustannie szukają nowych sposobów unikania wykrycia. O jeszcze innej metodzie ukrycia ransomware pisaliśmy tutaj. Powoli odchodzą od konwencjonalnego zaciemniania i przechodzą na rzadkie języki programowania i niejasne formaty danych. Widzieliśmy już znaczny wzrost oprogramowania ransomware napisanego w językach takich jak Java i Go.
Przypisywanie kodu Tycoon do konkretnych twórców nie jest na razie potwierdzone.
„Nakładanie się niektórych adresów e-mail, a także tekst noty o okupie i konwencja nazewnictwa stosowana w przypadku zaszyfrowanych plików sugerują powiązanie Tycoon z oprogramowaniem ransomware Dharma / CrySIS” – napisali badacze z BlackBerry Cylance.
CrySis pojawił się w lutym 2016 r, gdy zaobserwowano, że rozprzestrzenia się za pośrednictwem załączników e-mail z podwójnymi rozszerzeniami plików lub poprzez linki w wiadomościach spamowych. W podobny sposób, jak technika Tycoon, CrySis czai się również w spreparowanych wersjach bezpłatnego oprogramowania takiego jak WinRAR.