Ditemukan strain ransomware baru menargetkan organisasi kecil hingga menengah dalam industri perangkat lunak dan pendidikan telah beroperasi sejak setidaknya Desember 2019. Ransomware ini, dijuluki Tycoon oleh peneliti keamanan BlackBerry Threat Intelligence dan KPMG, adalah malware multi-platform berbasis Java yang dapat digunakan untuk mengenkripsi perangkat Windows dan Linux.
“Ini adalah kedua metode yang unik. Java sangat jarang digunakan untuk menulis malware endpoint karena memerlukan Java Runtime Environment untuk dapat menjalankan kode. File gambar jarang digunakan untuk serangan malware,” kata Eric Milam, Wakil Presiden untuk penelitian dan intelijen di BlackBerry.
“Penyerang sedang bergeser ke arah bahasa pemrograman yang tidak umum dan format data yang tidak jelas. Di sini, penyerang tidak perlu mengaburkan kode mereka tetapi tetap berhasil dalam mencapai tujuan mereka,” tambahnya.
Sistem backdoored dan anti-malware dinonaktifkan
“Ransomware dikerahkan dalam serangan yang ditargetkan terhadap sebuah organisasi, di mana administrator sistem telah dikunci dari sistem mereka setelah serangan pada pengontrol domain dan server file,” para peneliti menemukan ketika menganalisis serangan ransomware pada April 2020.
“Setelah melakukan investigasi forensik dari sistem yang terinfeksi, menjadi jelas bahwa intrusi awal terjadi melalui Internet yang menghadapi RDP jump-server.”
Begitu berada di dalam jaringan, penyerang mempertahankan persistensi dengan menggunakan pengaturan injeksi Image File Execution Options (IFEO) yang lebih sering memberikan kemampuan pada pengembang untuk debug perangkat lunak. Penyerang juga menggunakan hak istimewa untuk menonaktifkan perangkat lunak anti-malware menggunakan ProcessHacker untuk menghentikan penghapusan serangan mereka.
“Ransomware dapat diimplementasikan dalam bahasa tingkat tinggi seperti Java dan dieksekusi dengan cara yang tidak terduga,” kata Milam.
Setelah eksekusi, ransomware mengenkripsi jaringan dengan file-file yang dienkripsi oleh Tycoon diberikan ekstensi termasuk .redrum, .grinch dan .thanos – dan para penyerang menuntut tebusan untuk kunci dekripsi. Penyerang meminta pembayaran dalam bitcoin dan mengklaim harganya tergantung pada seberapa cepat korban menghubungi melalui email.
Baca Juga: “Ransomware Snake Bocorkan Data Pasien Fresenius Medical Care“
Fakta bahwa operasi ransomware ini masih berlangsung menunjukkan bahwa mereka yang berada di baliknya berhasil memeras pembayaran dari para korban.
Para peneliti berpendapat bahwa Tycoon berpotensi dikaitkan dengan bentuk ransomware lain, Dharma – juga dikenal sebagai Crysis – karena kesamaan dalam alamat email, nama file yang dienkripsi, dan teks dalam catatan tebusan.
Rincian lebih lanjut mengenai eksekusi, perilaku, dan modul enkripsi file ransomware ini dapat ditemukan dalam laporan Tycoon Blackberry/KPMG, bersama dengan daftar indicators of compromise (IOC).
