O Tycoon Ransomware Visa os Sistemas Windows e Linux

Um novo ransomware está ativo na Web, um que ameaça os setores educacional e corporativo. Chamado Tycoon, esse ransomware tem como alvo os sistemas Windows e Linux em todo o mundo.

Pesquisadores da equipe de segurança do Blackberry, juntamente com os analistas da KPMG, conseguiram descobrir o novo ransomware. O que torna esse específico ransomware diferente é a sua dependência do uso do Java. Ele é baseado no Java e implementado como um Java Runtime Environment (JRE) do tipo Trojan, oculto como um arquivo de imagem Java. Isso permite ao ransomware um certo nível de furtividade. Depois de atingir os alvos, ele criptografa os arquivos, adicionando a extensão .redrum aos dados afetados. Em outras versões, ele adiciona .redrum3_0 e .grich e .thanos também. Além da criptografia, o ransomware também pode garantir nenhuma recuperação de dados, pois substitui os arquivos excluídos. Os dados criptografados permanecem intactos e bloqueados por trás de um algoritmo AES-256 no modo Galois/Counter (GCM).

O processo de criptografia ocorre em partes, ignorando partes de grandes arquivos de dados. Isso permite que a criptografia ocorra rapidamente, tornando os arquivos impossíveis de acessar pelos usuários. Os pesquisadores suspeitam de um vínculo entre o ransomware Dharma e o Tycoon no momento. Certas sobreposições de endereços de e-mail, o texto da nota de resgate e o padrão de nomeação de arquivos criptografados sugerem um possível link entre os dois.

O Malware Tem Metas Específicas

Os pesquisadores descobriram que o malware estava ativo desde dezembro de 2019, mas, apesar de estar por aí há meses, não estava se espalhando muito rapidamente. O vídeo "Esta Semana em Malware" abaixo fornece uma sinopse detalhada de como a ameaça Tycoon Ransomware está especificamente direcionada a determinados computadores usando a sua plataforma baseada no Java.

Esta Semana em Malware Ep9 Video: O Tycoon Ransomware Baseado no Java Tem como Alvo os PCs Windows e Linux

Pesquisadores que observaram o Tycoon Ransomware perceberam que ele estava direcionado para pequenas e médias empresas, predominantemente empresas da indústria de software e institutos educacionais. Provavelmente, porque essas empresas podem não ter o mesmo cuidado com sua segurança. O Tycoon compromete as portas RDP, o que significa que as organizações precisam garantir que apenas as portas necessárias estejam voltadas para a Internet global. O backup dos dados da empresa é essencial para garantir que uma perda completa nunca aconteça.