Tycoon, un nouveau ransomware sur Windows et Linux - SoftMaroc - Toutes les actualités informatique et Hi-Tech
Tendance
8 juin 2020

Tycoon, un nouveau ransomware sur Windows et Linux


Une nouvelle forme de ransomware, récemment découverte, s'attaque aux systèmes Windows et Linux dans le cadre d'une campagne qui semble ciblée.

Baptisé Tycoon d'après les références du code, ce logiciel de rançon est actif depuis décembre 2019 et semble être l'œuvre de cybercriminels très sélectifs dans leur ciblage. Le logiciel malveillant utilise également une technique de déploiement peu commune qui lui permet de rester caché sur les réseaux compromis.

Les principales cibles de Tycoon sont des organisations des secteurs de l'éducation et des logiciels.

Un ransomware qui exploite Java


Tycoon a été découvert puis analysé et décrit par des chercheurs de BlackBerry travaillant avec des analystes de sécurité de KPMG. Sa forme est inhabituelle pour un ransomware car il est écrit en Java, déployé en tant que Trojan dans un environnement d'exécution Java puis compilé dans un fichier image Java (Jimage) pour dissimuler les intentions malveillantes.

« Ces deux méthodes sont uniques. Java est très rarement utilisé pour écrire des logiciels malveillants sur les terminaux car il nécessite l'environnement d'exécution Java pour pouvoir exécuter le code. Les fichiers images sont rarement utilisés pour les attaques de logiciels malveillants », explique Eric Milam, vice-président de la recherche et du renseignement chez BlackBerry, à ZDNet.

« Les attaquants se tournent vers des langages de programmation peu communs et des formats de données obscurs. Ici, les attaquants n'ont pas eu besoin de dissimuler leur code pour réussir à atteindre leurs objectifs », ajoute-t-il.

Déroulement de l'attaque


Cependant, la première étape de l'attaque par le ransomware Tycoon est moins atypique : l'intrusion initiale se fait par l'intermédiaire de serveurs RDP non sécurisés. C'est un vecteur d'attaque courant pour les campagnes de logiciels malveillants, qui exploite généralement des serveurs dont les mots de passe sont faibles, ou qui ont déjà été compromis.

Une fois à l'intérieur du réseau, les attaquants se servent des paramètres d'injection IFEO (Image File Execution Options), qui permettent le plus souvent aux développeurs de déboguer les logiciels, pour se maintenir en place. Ils utilisent également des privilèges pour désactiver les logiciels anti-malware, en utilisant ProcessHacker, afin d'éviter que leur attaque soit empêchée.

Après exécution, le ransomware crypte le réseau et les fichiers par des extensions spécifiques à Tycoon, notamment .redrum, .grinch et .thanos, et les attaquants demandent une rançon en échange de la clé de décryptage. Le paiement doit s'effectuer en bitcoin et le prix dépend de la rapidité avec laquelle la victime prend contact par e-mail.

Tycoon pourrait être de la famille de Dharma


Le fait que la campagne soit toujours en cours suggère que ses auteurs connaissent le succès en extorquant des paiements aux victimes.

Les chercheurs suggèrent que Tycoon pourrait potentiellement être lié à une autre forme de ransomware, Dharma – également connu sous le nom de Crysis – en raison des similitudes dans les adresses e-mail, les noms des fichiers cryptés et le texte de la demande de rançon.

Mais bien que Tycoon dispose de moyens uniques pour exécuter une infection, comme d'autres formes de rançon, il est possible de l'empêcher d'aller aussi loin.

Comment éviter ce type d'attaque ?


Les RPD étant un facteur répandu de compromission du réseau, les organisations peuvent s'assurer que seuls les ports qui nécessitent une connexion internet y sont reliés.

Elles doivent également s'assurer que les comptes qui ont accès à ces ports n'utilisent pas d'identifiants par défaut ou avec des mots de passe faibles ou faciles à deviner, car c'est un autre moyen de s'introduire sur le réseau.

Installer les correctifs de sécurité dès qu'ils sont disponibles est également un bon moyen de prévention contre les attaques, notamment par ransomware, car cela empêche les criminels d'exploiter des vulnérabilités connues.

Il faut également s'assurer de sauvegarder régulièrement son réseau – et de la fiabilité de cette sauvegarde. Ainsi, si le pire se produit, le réseau peut être restauré relativement rapidement, sans avoir à céder aux exigences des cybercriminels.

Source : Cette information et actualité qui a suscité notre intérêt, a été publiée par Danny Palmer sur le site zdnet.fr que nous remercions. il nous a semblé pertinent de vous en faire profiter.
Tycoon, un nouveau ransomware sur Windows et Linux Reviewed by Softciel on juin 08, 2020 Rating: 5 Une nouvelle forme de ransomware, récemment découverte, s'attaque aux systèmes Windows et Linux dans le cadre d'une campagne qui ...