Conteúdo de Detecção: Ransomware Tycoon

Blog

Junho 10, 2020

2 min de leitura

Conteúdo de Detecção: Ransomware Tycoon

Eugene Tkachenko
Eugene Tkachenko Líder do Programa Comunitário linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Apesar do fato de que novas famílias de ransomware aparecem com bastante frequência, a maioria delas está focada exclusivamente em sistemas Windows. Muito mais interessante é o Tycoon, um ransomware Java multiplataforma que pode criptografar arquivos tanto em sistemas Windows quanto Linux. Esta família tem sido observada em ambiente selvagem desde pelo menos dezembro de 2019. Seus autores compilaram-no em um formato de arquivo de imagem Java pouco conhecido que permite que o ransomware opere despercebido.

O ransomware está hospedado em uma versão trojanizada do Ambiente de Runtime Java. Suas principais vítimas parecem ser, em grande parte, pequenas e médias organizações nas indústrias de software e educação. Os adversários usam iscas personalizadas em ataques altamente direcionados. Em pelo menos um caso, os adversários penetraram na rede da organização via um servidor de salto RDP exposto à Internet.

Eles usaram a técnica de injeção de Opções de Execução de Arquivos de Imagem (T1183) para conseguir persistência nos sistemas comprometidos. Em seguida, os atacantes executaram um backdoor junto com o recurso de Teclado na Tela do Microsoft Windows, desativaram a solução anti-malware e alteraram as senhas dos servidores Active Directory.

Pesquisadores sugerem que o ransomware Tycoon pode ser usado pelos mesmos cibercriminosos que distribuem o ransomware Dharma / CrySIS e que os atacantes escolhem qual ferramenta usar dependendo do ambiente da vítima. 

Nova regra Sigma da comunidade por Ariel Millahuel ajuda a detectar o ransomware Tycoon quando ele se prepara para começar a criptografar arquivos nos sistemas infectados: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Escalada de Privilégios, Persistência, Evasão de Defesa, Execução

Técnicas: Interface de Linha de Comando (T1059), Injeção de Opções de Execução de Arquivos de Imagem (T1183)

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Blog Articles

Confluent Sigma: Guia de Solução Open-Source para Engenheiros de Detecção 15 min de leitura Sigma Confluent Sigma: Guia de Solução Open-Source para Engenheiros de Detecção by Daryna Olyniychuk Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards