自2019年12月以来,一种新的由人为操纵的勒索软件病毒已部署在针对性强的攻击中,这些攻击针对软件和教育行业的中小型组织。
勒索软件由BlackBerry Threat Intelligence和KPMG的安全研究人员称为Tycoon,是一种基于Java的多平台恶意软件,可用于对Windows和Linux设备进行加密。
在他们使用易受攻击且暴露于Internet的RDP服务器作为受害者的受害者的网络渗透到受害者的网络之后,Tycoon被其操作员以“包含木马Java运行时环境(JRE)构建的ZIP存档”的形式手动部署。
尽管“大亨”至少在过去的六个月中一直在野外使用,但鉴于迄今为止受害人数有限,它显然已在针对性强的攻击中使用。
黑莓/毕马威的研究人员发现: “某些电子邮件地址的重叠,赎金记录的文字以及用于加密文件的命名约定,表明Tycoon与Dharma / CrySIS勒索软件之间存在联系。”
后门系统和反恶意软件已禁用
研究人员在分析2020年4月发生的勒索软件攻击时发现:“勒索软件是针对组织的有针对性的攻击而部署的,在该组织中,系统管理员由于对其域控制器和文件服务器的攻击而被锁定在系统之外。” 。
“在对受感染系统进行法医调查后,很明显最初的入侵是通过面向RDP跳转服务器的Internet发生的。”

尽管无法发现攻击者利用RDP服务器后的活动的提示,因为它们已经还原,但检查加密设备后发现:
• 图像文件执行选项(IFEO)注入 用于获得持久性并将后门附加到Microsoft Windows屏幕键盘(OSK)功能。
•Active Directory密码已更改为拒绝对受感染服务器的访问。
•使用ProcessHacker禁用了反恶意软件解决方案。
•在为最后阶段做好一切准备之后,攻击者将通过部署Java勒索软件模块对所有文件服务器和网络备份进行加密。
勒索软件使用Java JIMAGE格式来创建在外壳程序脚本的帮助下执行的自定义恶意JRE构建。
由于此恶意JRE构建同时包含Windows批处理文件和Linux Shell,因此研究人员认为Tycoon操作员可以使用勒索软件对Linux服务器进行加密。

没有使用较新版本的Tycoon加密的文件的解密程序
Tycoon勒索软件使用“具有16字节长的GCM身份验证标签的Galois / Counter(GCM)模式3中的AES-256算法来加密受害者的文件,以确保数据完整性。”
“由于使用非对称RSA算法对安全生成的AES密钥进行加密,因此文件解密需要获得攻击者的私有RSA密钥。
“尽管在理论上是可行的,但仍无法实现1024位RSA密钥的构建,并且需要非凡的计算能力。”

尽管使用从受害人之一购买的解密器获得的私有RSA密钥对带有.redrum扩展名的Tycoon加密文件进行解密的成功(Emsisoft 在此处提供了免费的解密器 ),但是解密了使用的较新Tycoon版本锁定的文件。尚未实现grinch和.thanos扩展名。
报告总结说:“大亨已经在野外生存了至少六个月,但受害者人数似乎有限。”“这表明该恶意软件可能具有很高的针对性。”
“这还可能是使用几种不同勒索软件解决方案的更广泛活动的一部分,这取决于在特定环境中被认为更成功的方法。
可以在Blackberry / KPMG的Tycoon报告中找到有关勒索软件的交付,执行,行为和文件加密模块的更多详细信息,以及危害指标(IOC)的列表。
许多手动部署的勒索软件病毒之一
上个月,微软还在PonyFinal上分享了一些信息,PonyFinal是另一种基于Java的人工勒索软件,用于在利用受害者的系统管理服务器并针对已安装Java Runtime Environment(JRE)的端点后执行网络范围的加密。
微软说:“但是,在某些情况下,攻击者部署了Java Runtime Environment(JRE),基于Java的PonyFinal勒索软件需要运行它。”
PonyFinal勒索软件还可以在特定的日期和时间对文件进行加密,并在人为操作的勒索软件活动结束时进行部署,众所周知,该勒索软件一直处于休眠状态,并耐心等待最合适的时间进行攻击。
根据Redmond的研究,除Tycoon和PonyFinal外,人工勒索软件的列表还包括RobbinHood,Maze,Vatet loader,REvil(Sodinokibi),NetWalker,Paradise,RagnarLocker,MedusaLocker和LockBit。
*编译:Domino
*来自:bleepingcomputer