Tycoon es un ransomware que ha amenazado a las organizaciones pequeñas o medianas que operan principalmente en los sectores de software y educación. La plaga es capaz de atacar ordenadores sin importar que tengan sistema Windows o Linux, y es por una razón, su código se basa en Java.
Eso es lo que señalan los expertos en seguridad de BlackBerry Threat Intelligence y KPMG. Según ellos, Tycoon se ha distribuido en un archivo ZIP que incluye una compilación de Java Runtime Environment (JRE). Se estima que el malware ha estado en acción al menos desde diciembre de 2019.
A pesar de esto, el número de víctimas, por así decirlo, no es alto. La explicación más probable es que Tycoon solo se puede usar en ataques dirigidos, es decir, enfocados en objetivos específicos y seleccionados.
El Tycoon Ramsonware usa un formato inusual para pasar desapercibido
Los expertos de BlackBerry Threat Intelligence y KPMG tomaron medidas después de que una organización educativa europea (hasta ahora se desconoce el nombre) se vio gravemente afectada por el malware.
Descubrieron que el ataque se inició instalando una puerta trasera en un servidor de red. Después de un período de inactividad para evitar levantar sospechas, el atacante usó la puerta trasera para obtener acceso a la red de la institución.
A partir de ahí, se realizaron varias acciones, como modificar las contraseñas de Active Directory y desactivar el software de seguridad. El último paso fue poner el ransomware en acción. Varios ordenadores en la red fueron afectados.
Los investigadores se sorprendieron cuando descubrieron que Tycoon está compilado en JIMAGE (o Java Image), un formato inusual, pero que puede almacenar archivos de clase y recursos para módulos Java (incluidas imágenes).
Este ramsonware está mutando y se puede volver más peligroso
Cuando entra en acción, Tycoon cifra los archivos en los ordenadores afectados usando un algoritmo AES de 256 bits. Los investigadores incluso lograron descifrar algunos de ellos utilizando una clave comprada por una de las víctimas, pero el truco no funcionó con la mayoría de los archivos.
Para empeorar las cosas, hay indicios de que las versiones más recientes del ransomware usan diferentes claves criptográficas en cada ataque, mientras que el primero usa las mismas claves para diferentes objetivos.
Como Tycoon no se propaga automáticamente, la aplicación de políticas de seguridad de red, la implementación de mecanismos de protección y la actualización de los sistemas operativos se encuentran entre las acciones (triviales) que pueden dificultar o evitar la instalación de malware.
Más que permitir que el código se ejecute en diferentes plataformas (Windows, Linux y otros), este enfoque facilita la acción del malware porque, con poca frecuencia, los archivos JIMAGE no son controlados adecuadamente por los programas de seguridad.