Un nuovo ransomware per Windows e Linux scritto… in Java
Questo 2020 non smette di sorprenderci, nel bene e nel male. E quello che ha sorpreso i ricercatori di BlackBerry al lavoro insieme agli analisti di KPMG è un nuovo ransomware che funziona in maniera inusuale. Già, perchè negli anni dell’HTML5 e del JavaScript, di Node e Rust, trovare un ransomware che funzioni utilizzando il famoso software di Oracle è quanto mai inusuale.
Ma, come ci spiegano i ricercatori nel post sul blog di BlackBerry, in realtà Java difficilmente viene utilizzato come veicolo di attacco, principalmente a causa del fatto che richiede un software runtime (il JRE, Java Runtime Environment) per la sua esecuzione. Tycoon, questo il nome dato al ransomware, viene distribuito come una versione “super accessoriata” di JRE contenente anche di un bel trojan, e compilato come Java Image File per non destare sospetti:
These are both unique methods. Java is very seldom used to write endpoint malware because it requires the Java Runtime Environment to be able to run the code. Image files are rarely used for malware attacks […] Attackers are shifting towards uncommon programming languages and obscure data formats. Here, the attackers did not need to obscure their code but were nonetheless successful in accomplishing their goals
Questi sono entrambi metodi abbastanza unici. Java è usato raramente per scrivere malware perchè richiede il Java Runtime Environment per poter eseguire il codice. I file immagine vengono raramente usati per attacchi malware […] Gli attaccanti si spostano verso linguaggi di programmazione non comuni e formati di dati oscuri. Qui, gli attaccanti non hanno dovuto oscurare il loro codice ma sono comunque riusciti a raggiungere i loro obiettivi.
Di fatto Tycoon funziona in tre diverse fasi:
- Per prima cosa entra all’interno della rete tramite server RDP esposti su internet, specialmente grazie a password semplici o già compromesse
- Una volta dentro, utilizza le opzioni IFEO (Image File Execution Options), ovvero metodi per eseguire “codice” in un eseguibile già avviato (tipicamente forniti agli sviluppatori per permettere il debug) per inserirsi dentro altri applicativi, così da garantirsi la permanenza nella rete. Inoltre, in questa fase, usa i privilegi per l’esecuzione di queste attività al fine di disattivare i software anti-malware
- Infine inizia a criptare file in giro per la rete (con estensioni .redrum, .grinch e .thanos) e, in quanto ransomware, chiedendo un pagamento in bitcoin per avere la chiave di decrittazione
Tycoon è in giro da almeno Dicembre del 2019 e, a quanto dicono gli analisti, che sia ancora in giro è indice del fatto che sistemi son stati effettuati e pagamenti ricevuti.
Altra piccola nota è che, nonostante al momento si vedano solo sistemi Windows infettati da questo malware, il modulo Java di Tycoon contiene degli shell di script per Linux, suggerendo che sia presente una build dello stesso che bersaglia anche il nostro amato sistema operativo.
Al momento soluzioni non ce ne sono, se non quelle di non pubblicare direttamente su internet server RDP e, soprattutto, utilizzare password forti, oltre ad avere regolari backup dei propri file. Basta un pò di buon senso quindi.
Fonte: https://www.miamammausalinux.org/2020/06/un-nuovo-ransomware-per-windows-e-linux-scritto-in-java/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.