検出コンテンツ: Tycoonランサムウェア

新しいランサムウェアファミリーがかなり頻繁に出現するにもかかわらず、それらのほとんどはWindowsシステムにのみ焦点を当てています。もっと興味深いのは、TycoonというマルチプラットフォームのJavaランサムウェアで、WindowsとLinuxの両方のシステムでファイルを暗号化できます。このファミリーは少なくとも2019年12月から野生で観察されています。作者はランサムウェアを目立たないようにするために、あまり知られていないJavaのイメージファイル形式にコンパイルしました。

ランサムウェアは、トロイの木馬化されたJava Runtime Environmentのバージョンに収められています。その主要な被害者は、主にソフトウェアおよび教育業界の中小組織のようです。攻撃者は高度にターゲットを絞った攻撃でカスタマイズされたおとりを使用します。少なくとも1つのケースでは、攻撃者はインターネットに接続されたRDPジャンプサーバーを介して組織のネットワークに侵入しました。

彼らは「Image File Execution Options injection (T1183)」のテクニックを使用して、侵害されたシステムでの持続性を実現しました。その後、攻撃者はMicrosoft Windowsのオンスクリーンキーボード機能と一緒にバックドアを実行し、アンチマルウェアのソリューションを無効化し、Active Directoryサーバーのパスワードを変更しました。

研究者 は、TycoonランサムウェアがDharma / CrySISランサムウェアを配布する同じサイバー犯罪者によって使用される可能性があり、攻撃者は被害者の環境に応じてどのツールを使用するかを選ぶと示唆しています。  that Tycoon ransomware can be used by the same cybercriminals who distribute Dharma / CrySIS ransomware and that attackers choose which tool to use depending on the victim’s environment. 

新しいコミュニティSigmaルール作成者 アリエル・ミラウエル は、感染したシステムでファイルを暗号化し始める準備をする際のTycoonランサムウェアを検出するのに役立ちます： https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

このルールには、次のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術： 特権エスカレーション, 永続性, 防御回避, 実行

技術：コマンドラインインターフェイス (T1059), イメージファイル実行オプション挿入 (T1183)