Contenu de détection : Ransomware Tycoon

Bien que de nouvelles familles de ransomware apparaissent assez souvent, la plupart d’entre elles sont exclusivement concentrées sur les systèmes Windows. Tycoon est bien plus intéressant, un ransomware Java multiplateforme capable de chiffrer des fichiers sur les systèmes Windows et Linux. Cette famille a été observée dans la nature depuis au moins décembre 2019. Ses auteurs l’ont compilé dans un format de fichier image Java peu connu qui permet au ransomware de passer inaperçu.

Le ransomware est logé dans une version trojanisée de l’environnement d’exécution Java. Ses principales victimes semblent être principalement des petites et moyennes organisations dans les industries du logiciel et de l’éducation. Les adversaires utilisent des appâts personnalisés dans des attaques très ciblées. Dans au moins un cas, les adversaires ont pénétré le réseau de l’organisation via un serveur de saut RDP exposé à Internet.

Ils ont utilisé la technique d’injection Image File Execution Options (T1183) pour obtenir la persistance sur les systèmes compromis. Ensuite, les attaquants ont exécuté une porte dérobée aux côtés de la fonctionnalité Clavier Visuel de Microsoft Windows, ont désactivé la solution anti-malware et ont changé les mots de passe pour les serveurs Active Directory.

Les chercheurs suggèrent que le ransomware Tycoon peut être utilisé par les mêmes cybercriminels qui distribuent les ransomwares Dharma / CrySIS et que les attaquants choisissent quel outil utiliser en fonction de l’environnement de la victime.

Nouvelle règle Sigma communautaire par Ariel Millahuel aide à détecter le ransomware Tycoon lorsqu’il se prépare à commencer à chiffrer des fichiers sur les systèmes infectés : https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Escalade de Privilèges, Persistance, Évasion de la Défense, Exécution

Techniques : Interface en Ligne de Commande (T1059), Injection des Options d’Exécution de Fichiers d’Image (T1183)