En ny ransomwaretype rammer Windows og Linux

Tycoon ransomware har været i omløb siden 2019 og er særligt ude efter smv’ere, uddannelses- og softwaresektoren.

En ny ransomwaretype bruger Java til at ramme Windows og Linux-servere. Ifølge ZDnet er det tale om en utraditionel ransomwaretype, fordi den er skrevet i Java, distribueret som et Java Runtime Environment med en trojansk hest og samlet i en Java billedfil. Dette skjuler den reelle hensigt med programmet.

Ifølge de analytikere, der har afdækket metoden, er lige netop kombinationen af Java og billedfiler unik. Dels kræver det Java Runtime Environment at afvikle koden, dels bruges billedfiler sjældent til malware-angreb.

Dårlige passwords er vejen ind

Uanset hvor avanceret ransomwaresystemet er, er udfordringen for de fleste typer oftest den første fase, dvs. det at komme ind i netværket. I dette tilfælde sker det som så mange andre gange via usikre RDP-servere. Altså en gammelkendt angrebsmetode, hvor svage eller tidligere kompromitterede adgangskoder bliver udnyttet til at få adgang til netværket.

Først inde kan angriberne deaktivere antimalware-software, hvorefter vejen er banet til kryptering af filerne på netværket.

At analytikerne ved, at der er tale om Tycoon-ransomware skyldes, at ransomwaren efterlader sig typiske Tycoon-kendetegn som fx .redrum, .grinch og .thanos i de krypterede filer. Det er en måde at afsenderne kan vise, at de er på banen. På samme måde som grafittimalere efterlader tags.

Dermed kan de opnå anerkendelse i kriminelle kredse, som givetvis også er en del af belønningen ud over det konkrete udbytte i kryptovaluta, som gives i løsesum.

Links:

https://www.zdnet.com/article/this-new-ransomware-is-targeting-windows-and-linux-pcs-with-a-unique-attack/

https://www.techrepublic.com/article/new-java-based-ransomware-targets-windows-and-linux-servers/