Специалисты BlackBerry обнаружили необычный мультиплатформенный (для Windows и Linux) вымогатель Tycoon, написанный на Java и использующий файлы образов JIMAGE, чтобы избежать обнаружения.
Исследователи полагают, что Tycoon использовался для направленных и весьма редких атак, о чем свидетельствуют число его жертв и используемый механизм доставки. Так, вымогатель явно предназначался для атак на предприятия малого и среднего бизнеса, а также на образовательные учреждения и разработчиков ПО.
«Использование Java и JIMAGE уникальны. Java очень редко используется для написания вредоносных программ для эндпоинтов, поскольку для выполнения кода потребуется Java Runtime Environment . Файлы образов тоже редко используются для атак малвари», — отмечают эксперты BlackBerry.
При этом начинается атака вполне обычно: изначальная компрометация осуществляется через небезопасные RDP-серверы, «видимые» из интернета. Но расследование показало, что затем злоумышленники используют инъекцию Image File Execution Options (IFEO) для обеспечения устойчивого присутствия в системе, запускают бэкдор наряду с Microsoft Windows On-Screen Keyboard (OSK), а также отключают антивирусные продукты, используя ProcessHacker.
Закрепившись в сети компании, злоумышленники запускают вымогательский модуль на Java, который шифрует все файловые серверы, подключенные к сети, включая системы резервного копирования.
Сам шифровальщик разворачивается из ZIP-архива, содержащего вредоносную сборку Java Runtime Environment (JRE) и скомпилированный образ JIMAGE. Данный формат файлов обычно применяется для хранения кастомных образов JRE и используется Java Virtual Machine. Исследователи отмечают, что этот формат файлов, впервые представленный наряду с Java 9, слабо документирован и в целом редко используется разработчиками.
Также отмечается, что Tycoon удаляет исходные файлы после шифрования, а также перезаписывает их, чтобы точно предотвратить восстановление информации. Для этой задачи используется штатная Windows-утилита cipher.exe. Кроме того, во время шифрования малварь пропускает части больших файлов, чтобы ускорить процесс, что приводит к повреждению этих файлов и невозможности их использования.
При этом каждый файл шифруется с использованием нового ключа AES. Вымогатель использует асимметричный алгоритм RSA для шифрования сгенерированных ключей AES, то есть для дешифрования информации потребуется приватный RSA-ключ злоумышленника.
«Однако одна из жертв, обратившаяся за помощью на форум Bleeping Computer, опубликовала приватный ключ RSA, предположительно полученный из расшифровщика, который жертва приобрела у злоумышленников. Этот ключ успешно сработал для расшифровки некоторых файлов, пострадавших от наиболее ранней версии вымогателя Tycoon, которая добавляла расширение .redrum к зашифрованным файлам», — пишут эксперты, но предупреждают, что, к сожалению, для зашифрованных файлов с расширениями .grinch и .thanos данная тактика уже не работает.
Также исследователи выявили возможную связь с между Tycoon и вымогателем Dharma/CrySIS. Теория специалистов основана на совпадении адресов электронной почты, схожести текстов из записок с требованием выкупа, а также совпадениях в именах, которые присваиваются зашифрованным файлам.