Novo ransomware baseado em Java tem como alvo Windows e Linux

A unidade de pesquisa de segurança da BlackBerry, parceira da empresa de consultoria KPMG, divulgou análise de novo ransomware baseado em Java que atacou uma instituição educacional europeia.

Os pesquisadores de segurança identificaram o ransomware que usa um formato de arquivo Java pouco conhecido para dificultar a detecção antes de detonar sua carga útil de criptografia de arquivos, segundo o site de notícias TechCrunch.

A KPMG foi procurada pela instituição vítima após a identificação de violação, que contou com a ajuda dos parceiros da BlackBerry. Os pesquisadores nomearam o ransomware “Tycoon”, referenciando o nome de uma pasta encontrada no código descompilado. Eles disseram que o módulo tinha um código que permite que o ransomware seja executado em computadores Windows e Linux.

Invasão

Os pesquisadores também contaram que um hacker invadiu a rede do instituto usando um servidor de desktop remoto conectado à Internet e implantou um backdoor persistente para obter fácil acesso à rede depois que os invasores saem.

Depois de alguns dias de inatividade para impedir a detecção, o hacker entra novamente na rede pelo backdoor, desativa qualquer serviço antimalware em execução, espalha o módulo de ransomware pela rede e detona a carga útil, criptografando os arquivos de cada computador e mantendo-os reféns de um resgate, explica a publicação.

Segundo os pesquisadores, o módulo de ransomware compilado em formato de arquivo de imagem Java, ou JIMAGE, contêm todos os componentes necessários para a execução do código, mas raramente são verificados pelos mecanismos antimalware e podem passar despercebidos. Foi a primeira vez que eles identificaram esse tipo de módulo compilado no formato de arquivo de imagem Java.

Os hackers normalmente usam algoritmos de criptografia prontos para embaralhar os arquivos das vítimas em troca de um resgate, geralmente exigido em criptomoeda. Para a maioria das vítimas, suas únicas opções são torcer ter um backup ou pagar o resgate. Há muito tempo o FBI desencoraja as vítimas de pagar o resgate, segundo a reportagem.

Os pesquisadores, entretanto, acreditam que algumas vítimas consigam recuperar seus arquivos criptografados sem pagar pelo resgate.

As versões anteriores do Tycoon ransomware usavam as mesmas chaves de criptografia para embaralhar os arquivos de suas vítimas, o que significa que uma ferramenta de descriptografia pode ser usada para recuperar arquivos de várias vítimas, disseram os pesquisadores. Porém, o TechCrunch afirma que nova versão do ransomware parece ter corrigido essa vulnerabilidade.

Eric Milam e Claudiu Teodorescu, do BlackBerry, disseram ao TechCrunch que observaram cerca de uma dúzia de infecções Tycoon “altamente direcionadas” nos últimos seis meses, sugerindo que os hackers selecionam cuidadosamente suas vítimas, incluindo instituições de ensino e software. Eles também acreditam que o número real de infecções seja, provavelmente, muito maior.