Apesar do fato de que novas famílias de ransomware aparecem com bastante frequência, a maioria delas está focada exclusivamente em sistemas Windows. Muito mais interessante é o Tycoon, um ransomware Java multiplataforma que pode criptografar arquivos tanto em sistemas Windows quanto Linux. Esta família tem sido observada em ambiente selvagem desde pelo menos dezembro de 2019. Seus autores compilaram-no em um formato de arquivo de imagem Java pouco conhecido que permite que o ransomware opere despercebido.
O ransomware está hospedado em uma versão trojanizada do Ambiente de Runtime Java. Suas principais vítimas parecem ser, em grande parte, pequenas e médias organizações nas indústrias de software e educação. Os adversários usam iscas personalizadas em ataques altamente direcionados. Em pelo menos um caso, os adversários penetraram na rede da organização via um servidor de salto RDP exposto à Internet.
Eles usaram a técnica de injeção de Opções de Execução de Arquivos de Imagem (T1183) para conseguir persistência nos sistemas comprometidos. Em seguida, os atacantes executaram um backdoor junto com o recurso de Teclado na Tela do Microsoft Windows, desativaram a solução anti-malware e alteraram as senhas dos servidores Active Directory.
Pesquisadores sugerem que o ransomware Tycoon pode ser usado pelos mesmos cibercriminosos que distribuem o ransomware Dharma / CrySIS e que os atacantes escolhem qual ferramenta usar dependendo do ambiente da vítima.
Nova regra Sigma da comunidade por Ariel Millahuel ajuda a detectar o ransomware Tycoon quando ele se prepara para começar a criptografar arquivos nos sistemas infectados: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Escalada de Privilégios, Persistência, Evasão de Defesa, Execução
Técnicas: Interface de Linha de Comando (T1059), Injeção de Opções de Execução de Arquivos de Imagem (T1183)
