Le rançongiciel Tycoon tente d’infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel.
La société Blackberry Research & Intelligence vient de publier une étude concernant le ransomware Tycoon. La découverte d’une « nouvelle » souche montre que les attaquants deviennent de plus en plus créatifs et ont des programmes R&D qui ne se cachent plus.
Jusqu’à présent, les acteurs de cette menace ont utilisé ce rançongiciel pour infiltrer de petites et moyennes entreprises dans les domaines de l’éducation et du logiciel. Ce code malveillant utilise un format d’image inhabituel afin de passer inaperçu (Java IMAGE). Il verrouille les accès des administrateurs systèmes en attaquant leur contrôleur de domaine et leurs serveurs de fichiers. La typologie des victimes et le texte de rançon suggèrent un lien avec le ransomware Dharma/CrySIS.
Les pirates désactivent les solutions anti-malware à l’aide de l’utilitaire ProcessHacker. Ensuite, ils modifient les mots de passe des serveurs Active Directory. Cela laisse la victime incapable d’accéder aux systèmes infiltrés.
Le rançongiciel Tycoon se présente sous la forme d’une archive ZIP contenant une version JRE (Trojanized Java Runtime Environment). Le malware est compilé dans un fichier image Java (JIMAGE) situé dans lib\modules.
Il semble exister plusieurs versions de ce code malveillant. Il rajoute comme extension aux documents pris en otage : .grinch ou encore .thanos.
Les victimes, des cibles classiques. Plus fragile à une cyber attaque et plus à même de payer face à la perte de toutes leurs données. A lire, à ce sujet, une technique employée par les pirates opérateurs du ransomware Sodinokibi, découverte par la société en cyber sécurité de Montréal The 8 Brains, à destination des particuliers, PME et étudiants.