O ransomware baseado em Java usa JIMAGE direcionado a dispositivos Windows e Linux
Os hackers desenvolveram um novo ransomware baseado em Java, voltado para dispositivos Windows e Linux. De acordo com o último relatório do Techcrunch, um novo tipo de ransomware foi descoberto por pesquisadores de segurança.
Eles descobriram que ele usa um formato de arquivo Java pouco conhecido que torna o ransomware ainda mais difícil de detectar antes de ativar sua carga útil de criptografia de arquivos.
Um esforço de recuperação foi realizado pela unidade de resposta a incidentes da empresa de consultoria KPMG para ajudar um instituto de educação europeu sem nome afetado pelo ataque de ransomware.
O novo ransomware baseado em Java foi analisado pela unidade de pesquisa de segurança do BlackBerry, que faz parceria com a KPMG. Os resultados foram publicados na quinta-feira, 4 de junho.
Os pesquisadores do BlackBerry afirmaram que o hacker usou um servidor de desktop remoto conectado à Internet para violar a rede do instituto, implantando um backdoor persistente para obter fácil acesso à rede depois que eles saem.
Segundo a análise, o hacker entra novamente na rede através do backdoor criado após alguns dias de inatividade para impedir a detecção.
O hacker espalha o módulo de ransomware pela rede e detona a carga útil desativando qualquer serviço antimalware em execução. Cada um dos arquivos do computador foi criptografado, permitindo que o hacker os mantivesse refém por um resgate.
O formato de arquivo Java usado dificulta a detecção
Segundo o Techcrunch, os pesquisadores confirmaram que o incidente foi o primeiro que eles viram usar um módulo de ransomware, compilado em um formato de arquivo de imagem Java (JIMAGE).
Esses arquivos são um pouco como um aplicativo Java que contém todos os componentes necessários para a execução do código.
Os pesquisadores alegaram que esses arquivos raramente são verificados por mecanismos antimalware que podem permitir que hackers violem qualquer sistema não detectado. Fazendo referência a um nome de pasta encontrado no código descompilado, o BlackBerry nomeou o novo ransomware baseado em Java “Tycoon“.
O relatório afirmava que o módulo possuía um código que permite que hackers executem o novo ransomware em computadores Linux e Windows ou em outros dispositivos. Os operadores de ransomware embaralham os arquivos das vítimas em troca de um resgate, geralmente exigido em criptomoeda, usando algoritmos de criptografia fortes e prontos para uso.
Depois que um indivíduo é atacado por ransomware, sua única opção é esperar que eles salvem um arquivo de backup ou paguem o resgate; o FBI não incentiva as pessoas a pagarem o resgate, afirmou o relatório.
No entanto, os pesquisadores de segurança confirmaram que existem outras maneiras pelas quais as vítimas podem recuperar seus arquivos roubados sem pagar ao hacker.
Como as mesmas chaves de criptografia são usadas pelas versões iniciais do Tycoon ransomware para embaralhar os dispositivos de suas vítimas, uma ferramenta de descriptografia pode ser usada para recuperar os arquivos de várias vítimas.