Questo 2020 non smette di sorprenderci, nel bene e nel male. E quello che ha sorpreso i ricercatori di BlackBerry al lavoro insieme agli analisti di KPMG è un nuovo ransomware che funziona in maniera inusuale. Già, perchè negli anni dell’HTML5 e del JavaScript, di Node e Rust, trovare un ransomware che funzioni utilizzando il famoso software di Oracle è quanto mai inusuale.

Ma, come ci spiegano i ricercatori nel post sul blog di BlackBerry, in realtà Java difficilmente viene utilizzato come veicolo di attacco, principalmente a causa del fatto che richiede un software runtime (il JRE, Java Runtime Environment) per la sua esecuzione. Tycoon, questo il nome dato al ransomware, viene distribuito come una versione “super accessoriata” di JRE contenente anche di un bel trojan, e compilato come Java Image File per non destare sospetti:

These are both unique methods. Java is very seldom used to write endpoint malware because it requires the Java Runtime Environment to be able to run the code. Image files are rarely used for malware attacks […] Attackers are shifting towards uncommon programming languages and obscure data formats. Here, the attackers did not need to obscure their code but were nonetheless successful in accomplishing their goals

Questi sono entrambi metodi abbastanza unici. Java è usato raramente per scrivere malware perchè richiede il Java Runtime Environment per poter eseguire il codice. I file immagine vengono raramente usati per attacchi malware […] Gli attaccanti si spostano verso linguaggi di programmazione non comuni e formati di dati oscuri. Qui, gli attaccanti non hanno dovuto oscurare il loro codice ma sono comunque riusciti a raggiungere i loro obiettivi.

Di fatto Tycoon funziona in tre diverse fasi:

• Per prima cosa entra all’interno della rete tramite server RDP esposti su internet, specialmente grazie a password semplici o già compromesse
• Una volta dentro, utilizza le opzioni IFEO (Image File Execution Options), ovvero metodi per eseguire “codice” in un eseguibile già avviato (tipicamente forniti agli sviluppatori per permettere il debug) per inserirsi dentro altri applicativi, così da garantirsi la permanenza nella rete. Inoltre, in questa fase, usa i privilegi per l’esecuzione di queste attività al fine di disattivare i software anti-malware
• Infine inizia a criptare file in giro per la rete (con estensioni .redrum, .grinch e .thanos) e, in quanto ransomware, chiedendo un pagamento in bitcoin per avere la chiave di decrittazione

Tycoon è in giro da almeno Dicembre del 2019 e, a quanto dicono gli analisti, che sia ancora in giro è indice del fatto che sistemi son stati effettuati e pagamenti ricevuti.

Altra piccola nota è che, nonostante al momento si vedano solo sistemi Windows infettati da questo malware, il modulo Java di Tycoon contiene degli shell di script per Linux, suggerendo che sia presente una build dello stesso che bersaglia anche il nostro amato sistema operativo.

Al momento soluzioni non ce ne sono, se non quelle di non pubblicare direttamente su internet server RDP e, soprattutto, utilizzare password forti, oltre ad avere regolari backup dei propri file. Basta un pò di buon senso quindi.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.