Erkennungsinhalt: Tycoon Ransomware

[post-views]
Juni 10, 2020 · 2 min zu lesen
Erkennungsinhalt: Tycoon Ransomware

Trotz der Tatsache, dass neue Ransomware-Familien ziemlich oft erscheinen, konzentrieren sich die meisten ausschließlich auf Windows-Systeme. Viel interessanter ist Tycoon, eine plattformübergreifende Java-Ransomware, die Dateien sowohl auf Windows- als auch auf Linux-Systemen verschlüsseln kann. Diese Familie wurde nachweislich seit mindestens Dezember 2019 in freier Wildbahn beobachtet. Ihre Autoren haben sie in ein wenig bekanntes Java-Image-Dateiformat kompiliert, das es der Ransomware ermöglicht, unbemerkt zu bleiben.

Die Ransomware ist in einer trojanisierten Version der Java-Laufzeitumgebung untergebracht. Die primären Opfer scheinen überwiegend kleine und mittlere Organisationen in der Software- und Bildungsbranche zu sein. Gegner verwenden maßgeschneiderte Köder in hochgradig gezielten Angriffen. In mindestens einem Fall drangen die Angreifer über einen Internet-exponierten RDP-Jump-Server in das Netzwerk der Organisation ein.

Sie verwendeten die Technik Image File Execution Options Injection (T1183), um auf den kompromittierten Systemen persistiert zu bleiben. Danach führten die Angreifer eine Hintertür zusammen mit der Microsoft Windows-Bildschirmtastatur-Funktion aus, deaktivierten die Anti-Malware-Lösung und änderten die Passwörter für Active Directory-Server.

Forscher suggerieren dass Tycoon-Ransomware von denselben Cyberkriminellen verwendet werden kann, die Dharma / CrySIS-Ransomware verteilen, und dass Angreifer je nach Umgebung des Opfers wählen, welches Tool sie verwenden.

Neue Community-Sigma-Regel von Ariel Millahuel hilft, Tycoon-Ransomware zu erkennen, wenn sie sich darauf vorbereitet, Dateien auf den infizierten Systemen zu verschlüsseln: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

 

Die Regel enthält Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Privilege Escalation, Persistence, Defense Evasion, Execution

Techniken: Befehlszeilenschnittstelle (T1059), Image File Execution Options Injection (T1183)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko