Tycoon, le nouveau rançongiciel qui menace Windows et Linux

Tycoon est un nouveau programme de type rançongiciel.

Il n’est pas très connu car son fonctionnement reste très inhabituel face aux autres rançongiciels. Il a été identifié durant certaines cyberattaques trop précises et assez efficace, au-delà de tout ceci, il passe inaperçu.

Cet article va aussi vous intéresser : Ragnar Locker, le rançongiciel déguisé en une sorte de machine virtuelle

Le nom du programme Tycoon la référence de son code. Selon les spécialistes, ce rançongiciel serait actif depuis décembre 2019. Il est utilisé généralement contre les systèmes Windows et Linux. Depuis sa découverte, il a été remarqué qu’il est utilisé que dans le cadre de compagnes d’attaques ciblées. Ce qui est dans l’image à ses éditeurs comme étant des pirates informatiques très sélectifs.

Son déploiement est assez spéciale. De sorte à ce qu’il puisse rester caché sur le réseau contaminé le plus longtemps possible. Les secteurs les plus ciblées par les pirates informatiques qui se sert de Tycoon sont l’éducation et celui des logiciels. Il est connu pour exploiter Java.

Sa découverte a été suite à une collaboration entre les chercheurs de sécurité de BlackBerry et les spécialistes de la firme KPMG. Vu qu’il a été codé en Java, sa forme est assez spéciale, sa forme inhabituelle permet à ses éditeurs de déployer comme un simple cheval de Troie, dans un système d’exécution Java. il a possible de le compiler dans une image, ce qui facilite sa dissimulation. « Ces deux méthodes sont uniques. Java est très rarement utilisé pour écrire des logiciels malveillants sur les terminaux car il nécessite l’environnement d’exécution Java pour pouvoir exécuter le code. Les fichiers images sont rarement utilisés pour les attaques de logiciels malveillants.  Les attaquants se tournent vers des langages de programmation peu communs et des formats de données obscurs. Ici, les attaquants n’ont pas eu besoin de dissimuler leur code pour réussir à atteindre leurs objectifs » signifie Eric Milam, le vice-président de la recherche et du renseignement de chez BlackBerry.

Concernant l’attaque proprement dite, la première étape n’a rien n’a rien d’exceptionnel. En effet, il est introduit dans le système, grâce à une faille des serveurs de contrôle RDP sont suffisamment sécurisés. Et bien cette méthode intrusion est assez courante durant des compagnes impliquant des programmes malveillants. Les serveurs les plus vulnérables sont ceux dont les mots de passe au sont faibles où où déjà compromis lors d’une précédente attaque.  Par ailleurs : « Une fois à l’intérieur du réseau, les attaquants se servent des paramètres d’injection IFEO (Image File Execution Options), qui permettent le plus souvent aux développeurs de déboguer les logiciels, pour se maintenir en place. » explique Eric Milam. Par la suite, les pirates informatiques pourront se servir de certains privilèges d’administrateurs pour se débarrasser des solutions anti-malwares, avec l’aide de ProcessHacker, pour accroître leur chance de réussite. Après avoir été exécuté, le rançongiciel procède chiffrement du réseau et des fichiers par ordre d’extensions qui lui sont spécifiques, tel que « .redrum, .grinch et .thanos » et conformément au mode opératoire classique des attaquants au rançongiciel, le hackers exigeront le paiement de la rançon pour libérer le réseau. Le paiement est exigé en bitcoin. La somme exigée varie selon la victime et sa promptitude à prendre contact avec des cybercriminels.

Selon les chercheurs de Blackberry, il est fort probable que « Tycoon pourrait potentiellement être lié à une autre forme de ransomware, Dharma – également connu sous le nom de Crysis – en raison des similitudes dans les adresses e-mail, les noms des fichiers cryptés et le texte de la demande de rançon. ». Et comme les compagnes se fondant sur ce programme sont toujours en cours, il semblerait, selon les probabilités, que les cybercriminels rencontrent du succès.

La bonne nouvelle, c’est qu’il est possible de le stopper à distance. Mais en guise de prévention, il est recommandé de toujours mettre ses équipements à jour, et d’éviter tout ce qui est comme geste susceptible d’exposer un des terminaux connecté au réseau de l’entreprise. Les Experts de Blackberry recommandent : « Les RPD étant un facteur répandu de compromission du réseau, les organisations peuvent s’assurer que seuls les ports qui nécessitent une connexion internet y sont reliés. ». À cet effet les entreprises doivent s’assurer que les comptes utilisés pour accéder à ses ports ne fonctionnent pas avec des identifiants fournis par défaut ou des mots de passe assez faibles pour être deviné par un pirate informatique.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage