Contenuto di Rilevamento: Tycoon Ransomware

Nonostante il fatto che nuove famiglie di ransomware appaiano piuttosto spesso, la maggior parte di esse si concentra esclusivamente sui sistemi Windows. Molto più interessante è Tycoon, un ransomware Java multipiattaforma che può crittografare file su sistemi sia Windows che Linux. Questa famiglia è stata osservata in-the-wild almeno da dicembre 2019. I suoi autori lo hanno compilato in un formato di file immagine Java poco conosciuto che permette al ransomware di passare inosservato.

Il ransomware è ospitato in una versione trojanizzata dell’ambiente di runtime Java. Le sue vittime principali sembrano essere piccole e medie organizzazioni nei settori del software e dell’istruzione. Gli avversari usano esche personalizzate in attacchi altamente mirati. In almeno un caso, gli avversari hanno penetrato la rete dell’organizzazione tramite un jump-server RDP esposto a Internet.

Hanno utilizzato la tecnica dell’iniezione Image File Execution Options (T1183) per ottenere la persistenza sui sistemi compromessi. Successivamente, gli attaccanti hanno eseguito una backdoor insieme alla funzione tastiera su schermo di Microsoft Windows e hanno disabilitato la soluzione anti-malware e cambiato le password per i server di Active Directory.

I ricercatori suggeriscono che il ransomware Tycoon possa essere utilizzato dagli stessi criminali informatici che distribuiscono il ransomware Dharma / CrySIS e che gli attaccanti scelgano quale strumento utilizzare a seconda dell’ambiente della vittima. 

Nuova regola Sigma community di Ariel Millahuel aiuta a rilevare il ransomware Tycoon quando si prepara a iniziare a crittografare i file sui sistemi infetti: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Escalation dei privilegi, Persistenza, Evasione delle difese, Esecuzione

Tecniche: Interfaccia della riga di comando (T1059), Image File Execution Options Injection (T1183)