Análisis de malware

Malware magnate: qué es, cómo funciona y cómo prevenirlo | Destacado malware

1 de octubre de por Greg Belding

Introducción

Se ha dicho que una imagen vale más que mil palabras. En el mundo del malware, una imagen vale una infección; en otras palabras, una imagen puede ser en realidad el malware (ransomware, específicamente en este caso) que infecta inicialmente la máquina comprometida. Este malware se llama Tycoon y utiliza un formato de imagen oscuro para infectar máquinas e infligir su caos de ransomware en la máquina comprometida.

Este artículo explorará el ransomware Tycoon y detallará qué es Tycoon, cómo funciona y cómo prevenirlo.

¿Qué es magnate?

Tycoon es un ransomware que se ha observado en estado salvaje desde diciembre de. Si bien su perfil de víctima es relativamente pequeño, se dirige a pequeñas y medianas empresas que operan tanto en el campo del software como en el educativo. Esto ha llevado a los investigadores a concluir que su uso es muy específico, lo que significa que sus operadores utilizarán selectivamente el malware en situaciones en las que es más probable que tenga éxito.

Aunque se implementa manualmente como muchos otros ransomwares, lo que distingue a Tycoon es el hecho de que sus operadores difunden Tycoon con un archivo zip que contiene lo que se llama una compilación troyanizada de Java Runtime Environment (JRE). Está compilado en un tipo de archivo raramente visto llamado archivo de imagen Java (JIMAGE) que muchos (incluyéndome a mí) ni siquiera sabíamos que existía. De hecho, resulta un poco sorprendente que este formato de archivo no se haya utilizado más ampliamente en campañas de malware, debido a la minúscula huella de memoria que deja. Más sobre este punto más adelante.

El uso combinado de JRE y JIMAGE para infectar sistemas con malware y ransomware significa que no se propagará a través de campañas de malspam y phishing. Más bien, Tycoon está diseñado para propagarse manualmente y enfrenta los desafíos relacionados con la propagación manual de malware, como una huella de ataque mucho más pequeña y el componente (casi) necesario de que haya un interno malicioso en el trabajo. Esto se debe a que se necesita alguien interno para instalar el malware en un sistema o para hacer más probable que se produzca una infección colocando el archivo infectado en manos del usuario del sistema de destino.

De cualquier forma que se mire, infectar sistemas con Tycoon es al mismo tiempo deliberado, planificado y dirigido. Puedes pensar en ello como pescar con una red de acuario donde sabes qué peces quieres, en lugar de pescar en el océano con una red enorme y esperar obtener tantos peces como puedas.

¿Cómo funciona Tycoon?

El uso de JRE y JIMAGE para infectar sistemas de destino distingue a Tycoon de casi todos los demás ransomware que existen. Además de ser una rareza en este sentido, Tycoon también puede infectar sistemas Windows y Linux por igual.

Si esto te deja rascándote la cabeza, es porque Tycoon está escrito en Java. Este lenguaje ha quedado en gran medida relegado al basurero de la historia del programador a pesar de ser la potencia de programación del mundo durante un par de décadas. Los operadores de campañas de ataque, por el contrario, entienden la utilidad de este lenguaje: permite que un malware escrito en ese idioma infecte sistemas Linux, que todavía hoy se utilizan ampliamente en el mundo empresarial. Ser independiente de la plataforma también abre todos los demás sistemas operativos a la infección Tycoon (¡atención, usuarios de iOS!).

Una vez que la infección se ha apoderado de un sistema donde se ha observado que el punto de intrusión inicial es un servidor de salto RDP (frente a Internet), los operadores de Tycoon centran sus esfuerzos en mantener la persistencia de la red.

Utilizan lo que se llama inyección de opciones de ejecución de archivos de imagen, o IFEO. La configuración de IFEO se puede encontrar en el Registro de Windows y los desarrolladores normalmente la utilizan durante la depuración del software. También otorga privilegios adicionales en la red, y los operadores de Tycoon los usan para deshabilitar soluciones/software antimalware, instalar puertas traseras y cambiar las contraseñas del directorio activo de Windows. En este punto, Tycoon está completamente preparado para descargar e implementar JRE y JIMAGE cargados maliciosamente y comenzar su verdadero propósito: retener los archivos en el sistema de destino para pedir un rescate.

Tycoon utiliza un algoritmo de cifrado asimétrico para cifrar las claves AES, lo que significa que para descifrar estos archivos el usuario necesitará acceso a la clave RSA privada del operador de Tycoon. Esta es una clave RSA-1024 y se necesitaría una cantidad excepcional de poder computacional para factorizarla.

Después de la infección, el usuario se enfrentará a la casi omnipresente nota de demanda en su escritorio solicitando el pago en Bitcoin. Como una nueva versión del ransomware, los operadores también ofrecen a los usuarios una prueba de su “herramienta de descifrado” con la esperanza de que paguen el rescate. Algunas empresas antimalware de terceros han creado herramientas de descifrado, pero se ha informado que solo funcionan con la primera variante de Tycoon.

Cómo prevenir el magnate

A continuación se presentan algunos consejos para prevenir Tycoon:

• El número de víctimas de Tycoon sigue siendo bastante pequeño y están muy dirigidos, y el punto de infección suele ser un servidor de salto RDP con acceso a Internet. Asegúrese de que su organización utilice SSL/TLS para proteger su servidor de salto RDP
• Aplique actualizaciones y parches de seguridad: esto puede parecer omnipresente, pero mantenerse actualizado vale la pena en términos de seguridad.
• Los programas de formación en ciberseguridad deberían cubrir el hecho de que el ransomware no se propaga sólo mediante phishing y publicidad maliciosa, sino también manualmente, en cuyo caso las víctimas serán un objetivo muy importante. En el caso de Tycoon, todas las víctimas han estado en el campo del software y la educación.

Conclusión

Tycoon es un ransomware que ha estado disponible desde al menos diciembre de. Lo que distingue a este ransomware de los demás es que está escrito en Java y utiliza JRE y JIMAGE para infectar los sistemas de destino. Esto se debe al hecho de que Java es un lenguaje independiente de la plataforma, por lo que puede infectar sistemas con cualquier sistema operativo. Esto ilustra que los grupos de ataque se están expandiendo a diferentes lenguajes de programación para ampliar su proverbial alcance.

Fuentes

Informe: Tycoon Ransomware apunta a sistemas Windows y Linux , BankInfoSecurity

Tycoon Ransomware recurre a una táctica inusual sobre archivos de imágenes , ThreatPost

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

El nuevo ransomware Tycoon se dirige a sistemas Windows y Linux , Bleeping Computer