Mercado fechado

Novo ransomware Tycoon ataca empresas que usam Windows ou Linux

Rafael Arbulu

Um novo ransomware apelidado Tycoon (“Magnata”, na tradução literal) vem atacando empresas de pequeno e médio porte, com um adicional consideravelmente maior de perigo já que sua aplicação foi identificada em invasões tanto de servidores Windows como sistemas baseados em Linux.

O Tycoon parece ser entregue manualmente a servidores e máquinas específicas, o que significa que um hacker invasor provavelmente possui conhecimento prévio da empresa que deseja atacar. Basicamente, ele se vale de credenciais válidas para ganhar acesso ao servidor e, uma vez dentro, desabilita antivírus e outros mecanismos de defesa no intuito de instalar uma aplicação de monitoramento e debug de recursos de sistema.

O ransomware se mantém escondido como uma aplicação Java Runtime Environment (JRE), aparecendo para o usuário como um formato diferenciado de imagem em Java (JIMAGE). Uma vez executado, ele criptografa o sistema, efetivamente “trancando” uma ou mais máquinas e exigindo pagamentos por sua liberação.

Ataques de ransomware e outros malwares estão aumentando desde o início da pandemia da COVID-19, mas o Tycoon ainda não parece seguir essa tendência (Imagem: Reprodução/Getty Images)

O Tycoon foi identificado por um esforço conjunto de pesquisadores da Blackberry Research and Intelligence, em parceria com o Cyber Response Services, uma equipe de inteligência em TI corporativo da KPMG no Reino Unido. “Quem escreve malwares sempre busca uma nova forma de se manter fora do radar”, disse a Blackberry em um post em seu blog oficial. “Eles estão, aos poucos, se distanciando de [técnicas tradicionais de] ofuscamento e se aproximando mais de linguagens de programação menos convencionais e formatos obscuros de dados. Nós já vimos um aumento considerável em ransomwares escritos em Java e Go. Essa, porém, é a primeira amostra que encontramos que abusa especificamente do formato JIMAGE para criar um JRE customizado e malicioso”.

A Blackberry ressalta que não há métodos específicos de prevenção contra o Tycoon, que, segundo a empresa, está em atuação há pelo menos seis meses, em caráter reduzido: “Parece que há um número baixo de vítimas, o que sugere que o malware é altamente específico em seus alvos. Ele também pode, porém, ser parte de uma maior campanha que usa diferentes tipos de ransomware, dependendo do que for percebido como o mais bem-sucedido em ambientes específicos de sistema”, afirma a empresa.

Fonte: Canaltech