Исследователи в области безопасности обнаружили новый вид вымогателей, который использует малоизвестный формат файлов Java, чтобы его было сложнее обнаружить, прежде чем он взорвет свою полезную нагрузку с шифрованием файлов.
Для реагирования на инцидент в неназванном европейском образовательном институте, пострадавшем от атаки вымогателей, была вызвана группа по реагированию на инциденты гигантской консалтинговой компании KPMG. Отдел исследования безопасности BlackBerry, который сотрудничает с KPMG, проанализировал вредоносное ПО и опубликовал его результаты в четверг.
Исследователи BlackBerry заявили, что хакер проник в сеть института, используя сервер удаленного рабочего стола, подключенный к Интернету, и развернул постоянный бэкдор, чтобы получить легкий доступ к сети после их ухода. После нескольких дней бездействия для предотвращения обнаружения хакер снова входит в сеть через черный ход, отключает любую работающую службу защиты от вредоносных программ, распространяет модуль вымогателей по сети и детонирует полезную нагрузку, шифруя файлы каждого компьютера и удерживая их заложник для выкупа.
Исследователи сказали, что они впервые увидели модуль вымогателей, скомпилированный в файл образа Java, или JIMAGE. Эти файлы содержат все компоненты, необходимые для запуска кода – немного похоже на Java-приложение – но редко сканируются антивирусными механизмами и могут оставаться в основном незамеченными.
BlackBerry назвал вымогателей «Tycoon», ссылаясь на имя папки, найденное в декомпилированном коде. Исследователи сказали, что модуль имеет код, который позволяет программам-вымогателям работать на компьютерах с Windows и Linux.
Операторы-вымогатели обычно используют надежные готовые алгоритмы шифрования для шифрования файлов жертв в обмен на выкуп, часто требуемый в криптовалюте. Для большинства жертв единственным вариантом является надеяться, что у них есть резервная копия или заплатить выкуп. (ФБР давно отговаривает жертв от выплаты выкупа.)
Но исследователи сказали, что есть надежда, что некоторые жертвы смогут восстановить свои зашифрованные файлы без уплаты выкупа. Ранние версии вымогателей Tycoon использовали одни и те же ключи шифрования для шифрования файлов своих жертв. Это означает, что один инструмент расшифровки может быть использован для восстановления файлов для нескольких жертв, говорят исследователи. Но новые версии Tycoon, похоже, исправили эту слабость.
Эрик Милам из BlackBerry и Клаудиу Теодореску рассказали TechCrunch, что за последние шесть месяцев они наблюдали около десятка «целенаправленных» инфекций магнатов, предлагая хакерам тщательно выбирать своих жертв, в том числе образовательные учреждения и фирмы, занимающиеся разработкой программного обеспечения.
Но, как это часто бывает, исследователи говорят, что фактическое число инфекций, вероятно, гораздо выше.