W sieci pojawiło się nowe oprogramowanie ransomware.

Zdaniem badaczy jest ono szczególnie niebezpieczne, bo wykorzystuje mało popularny format plików java. To utrudnia wykrycie go przez antywirusy, zanim ransomware uruchomi mechanizm szyfrujący pliki.

Nowe zagrożenie

Ransomware, szkodliwe oprogramowanie bazujące na blokowaniu użytkownikowi dostępu do plików i żądające okupu za ich odszyfrowanie, staje się coraz powszechniejszym problemem. O nowym zagrożeniu poinformowała firma KPMG zajmująca się reagowaniem na takie incydenty. Tym razem została zaangażowana przez jeden z europejskich instytutów edukacyjnych.

Po przeanalizowaniu odkrytego zagrożenia wczoraj opublikowano raport w jego sprawie. Do włamania miało dojść za pomocą zdalnego serwera stacjonarnego, co pozwoliło na stworzenie stałego backdooru. Kilka dni później haker wprowadził do sieci moduł ransomware.

Naukowcy podkreślają, że nie widzieli dotychczas, by udało się skompilować tego typu moduł w pliku java lub JIMAGE. Są one rzadziej skanowane przez antywirusy, co utrudnia ich wykrycie.

Dawne słabości

Odkryte oprogramowanie otrzymało roboczą nazwę Tycoon, co nawiązuje do nazwy folderu odkrytego po zdekompilowaniu kodu wirusa. Naukowcy zauważyli, że konstrukcja tego ransomware'a umożliwia jego wywołanie zarówno na Windowsie, jak i Linuksie.

Tycoon mimo trudnej wykrywalności ma jednak również swoje słabości. Część plików uda się odzyskać bez płacenia okupu dzięki temu, że starsze wersje aplikacji korzystały z takich samych kluczy deszyfrujących. Wygląda jednak na to, że niedoskonałość ta została naprawiona w kolejnych wersjach wirusa.

Konkretne cele

W ostatnim półroczu doszło do ok. 12 infekcji Tycoonem, przy czym hakerzy zdają się dokładnie wybierać swoje ofiary. To głównie instytucje edukacyjne i producenci oprogramowania. Naukowcy nie wykluczają jednak, że rzeczywistych przypadków wykorzystania tego softu mogło być więcej.

fot. Pixabay