Le rançongiciel Tycoon utilise une nouvelle stratégie

Une nouvelle souche de rançongiciel nommée Tycoon cible les systèmes Windows et Linux en utilisant un format d’image Java peu connu dans le cadre de sa kill chain.

Selon des chercheurs de BlackBerry Cylance, le rançongiciel Tycoon est hébergé dans une version trojanisée de Java Runtime Environment (JRE) et existe depuis décembre. Jusqu’à présent, ses victimes étaient en grande partie des petites et moyennes organisations faisant partie des secteurs de l’éducation et de la création de logiciels.

“Tycoon est en liberté depuis au moins six mois, mais il semble y avoir un nombre limité de victimes”, ont déclaré les chercheurs. «Cela suggère que le malware lance des attaques très ciblées. Il peut également faire partie d’une campagne plus large utilisant plusieurs solutions de rançongiciels différentes, en fonction de ce qui a le plus de chance de succès dans des environnements spécifiques.»

tycoon rançongiciel

Tycoon utilise des techniques inhabituelles

En collaboration avec UK Cyber ​​Response Services de KPMG, les chercheurs ont analysé une attaque ciblée utilisant le malware auparavant inconnu sur le contrôleur de domaine et les serveurs de fichiers d’une organisation (l’intrusion initiale s’est produite via un serveur RDP accessible sur Internet). Ils ont déclaré que l’analyse d’une attaque récente a montré que le rançongiciel Tycoon utilise des techniques «inhabituelles et remarquables».

Plus particulièrement, le rançongiciel Tycoon est délivré sur une machine compromise sous la forme d’une archive compressée .ZIP, contenant une version trojanisé de Java Runtime Environment (JRE). Tycoon est compilé dans un fichier image Java (JIMAGE). JIMAGE est un format de fichier spécial utilisé pour stocker des fichiers de classe et de ressources de plusieurs modules Java (y compris des images) pour prendre en charge le JRE personnalisé. Il est rarement utilisé par les développeurs, contrairement à son cousin, le populaire format Java Archive (JAR).

«Les auteurs de programmes malveillants recherchent constamment de nouvelles méthodes pour ne pas se faire détecter», ont déclaré les chercheurs. «Ils s’éloignent lentement de l’obscurcissement conventionnel et se tournent vers des langages de programmation inhabituels et des formats de données obscurs. Nous avons déjà constaté une augmentation substantielle des rançongiciels écrits dans des langages tels que Java et Go. Il s’agit du premier échantillon que nous avons rencontré qui abuse spécifiquement du format Java JIMAGE pour créer une version personnalisée et malveillante de JRE. “

Le rançongiciel est déclenché par l’exécution d’un script shell qui exécute le principal module Java malveillant et qui n’existe que sur Windows et Linux. Le rançongiciel possède un fichier de configuration qui est stocké dans le fichier BuildConfig du projet, qui contient l’adresse e-mail de l’attaquant, une clé publique RSA, le contenu de la note de rançon, une liste d’exclusion et un ensemble de commandes shell à exécuter.

Ces dernières commandes incluent des instructions sur le chiffrement des fichiers présents sur la machine compromise.

«La liste des chemins à chiffrer peut être passée en paramètre; alternativement, le malware générera une liste de tous les chemins racine dans le système », ont expliqué les chercheurs. «Un thread de chiffrement distinct sera créé pour chaque élément de la liste des chemins. Une fois le processus de chiffrement terminé, le logiciel malveillant s’assurera que les fichiers ne sont pas récupérables en remplaçant les fichiers supprimés dans chaque chemin de chiffrement. Il utilise un utilitaire Windows intégré appelé cipher.exe pour cette tâche. »

Chaque fichier est chiffré avec une clé AES différente, puis chiffré avec la clé publique RSA-1024 de l’attaquant et enregistré dans un bloc de métadonnées.

“En raison de l’utilisation d’un algorithme RSA asymétrique pour chiffrer les clés AES générées en toute sécurité, le déchiffrement des fichiers nécessite l’obtention de la clé RSA privée de l’attaquant”, ont expliqué les chercheurs. “La factorisation d’une clé RSA 1024 bits, bien que théoriquement possible, n’a pas encore été réalisée et nécessiterait une puissance de calcul extraordinaire.”

Cela dit, la première version du logiciel malveillant (qui applique l’extension .redrum aux fichiers chiffrés) peut être déchiffrée à l’aide d’une clé RSA statique codée en dur qu’un utilisateur a publiée sur un forum de sécurité informatique. Cependant, les chercheurs ont constaté que la clé s’est avérée efficace pour le déchiffrement de versions plus récentes (qui ajoutent les extensions «.grinch» et «.thanos» aux fichiers).

L’analyse a mis en évidence quelques autres nouvelles approches dans Tycoon, notamment l’utilisation de l’injection IFEO (Image File Execution Options) pour obtenir la persistance sur la machine de la victime. Il l’utilise pour exécuter une porte dérobée parallèlement à la fonctionnalité OSK (Microsoft On-Screen Keyboard) du système d’exploitation.

Les attaquants ont désactivé la solution anti-malware de l’organisation à l’aide de l’utilitaire ProcessHacker et ont modifié les mots de passe des serveurs Active Directory. Cela empêche la victime d’accéder à ses systèmes.

tycoon rançongiciel

Cette attaque de rançongiciel est la deuxième récente attaque à utiliser le Java Runtime Environment (JRE) pour s’exécuter. Alors que les informations initiales montrent une attaque très ciblée, elles illustrent l’idée que les groupes criminels cherchent de nouvelles façons d’éviter la détection une fois à l’intérieur d’une organisation. La désactivation de l’anti-malware sur les systèmes réduit les chances d’être découvert par les administrateurs système avant de lancer le JRE pour chiffrer les systèmes de fichiers.

Bien que l’attribution du code malveillant soit pour l’instant ambiguë, les chercheurs ont constaté des similarités avec un logiciel malveillant connu.

«La similarité de certaines adresses e-mail, ainsi que le texte de la note de rançon et la convention de dénomination utilisée pour les fichiers chiffrés, suggèrent une connexion entre Tycoon et le rançongiciel Dharma/CrySIS», ont révélé les chercheurs.

CrySis a fait surface en février 2016, lorsqu’il se propageait via des pièces jointes avec des fichiers à double extensions ou via des liens dans des messages de spam. Similairement à la technique de Tycoon, CrySis a également été trouvé caché dans des versions trojanisés de logiciels disponibles gratuitement tels que des programmes de compression comme WinRAR. Quelques mois plus tard cependant, les clés maîtres de déchiffrement ont été distribuées pour le logiciel malveillant, ce qui l’a rendu ineffectif.

Si cet article vous a plu, jetez un œil à notre article précédent.