FBI Internet Crime Complaint Center (IC3) publiceerde vorig jaar het “Internet Crime Report“. Uit het rapport bleek dat cybercriminaliteit in 2019 een enorme $ 3,5 miljard (€ 3 miljard) had gekost. Aanvallers gebruiken ransomware om geld te extraheren van bedrijven en individuele gebruikers. De beveiligingsonderzoekseenheid van BlackBerry heeft onlangs een nieuwe ransomware ontdekt die een Europese onderwijsinstelling heeft getroffen. In tegenstelling tot de meeste tot nu toe ontdekte ransomware, is deze nieuwe ransomware-module gecompileerd in een Java-afbeeldingsbestandsindeling (JIMAGE). JIMAGE is een bestandsformaat dat aangepaste JRE-afbeeldingen opslaat die is ontworpen om tijdens runtime door de Java Virtual Machine (JVM) te worden gebruikt.

Zo gaat de aanval in zijn werk:


  • Om persistentie op de machine van het slachtoffer te bereiken, hadden de aanvallers een techniek gebruikt die injectie met Image File Execution Options (IFEO) wordt genoemd. IFEO-instellingen worden opgeslagen in het Windows-register. Deze instellingen geven ontwikkelaars de mogelijkheid om hun software te debuggen door de bijlage van een debugtoepassing tijdens de uitvoering van een doeltoepassing.
  • Vervolgens werd een achterdeur uitgevoerd naast de Microsoft Windows On-Screen Keyboard (OSK) -functie van het besturingssysteem.
  • De aanvallers hebben de anti-malware-oplossing van de organisatie uitgeschakeld met behulp van het ProcessHacker-hulpprogramma en de wachtwoorden voor Active Directory-servers gewijzigd. Hierdoor heeft het slachtoffer geen toegang tot zijn systemen.
  • De meeste bestanden van de aanvaller waren tijdgestempeld, inclusief de Java-bibliotheken en het uitvoeringsscript, en hadden tijdstempels van de bestandsdatum van 11 april 2020, 15:16:22
  • Ten slotte voerden de aanvallers de Java-ransomwaremodule uit, waarmee ze alle bestandsservers versleutelden, inclusief back-upsystemen die op het netwerk waren aangesloten.

Na het uitpakken van het zipbestand dat bij de ransomware hoort, zijn er drie modules in de naam van “tycoon”. Het team van Blackberry heeft deze ransomware dus als tycoon genoemd. Bekijk hieronder de losgeldbrief van tycoon.

U kunt meer details over ransomware vinden via de onderstaande link.

Wat is ransomware?

Pin It on Pinterest