Tycoon est une organisation de rançon qui menace les petites et moyennes organisations qui opèrent principalement dans les secteurs du logiciel et de l’éducation. Le parasite est capable d’attaquer les deux ordinateurs avec Windows et Linux pour une seule raison : son code est basé sur Java.
C’est ce que soulignent les experts en sécurité de BlackBerry Threat Intelligence et de KPMG. Selon eux, Tycoon est distribué dans un fichier ZIP qui apporte une compilation du Java Runtime Environment (JRE).
On estime que les logiciels malveillants sont en action au moins depuis décembre 2019. Néanmoins, le nombre de victimes n’est pour ainsi dire pas élevé. L’explication la plus probable réside dans la possibilité que Tycoon ne soit utilisé que dans des attaques ciblées, c’est-à-dire axées sur des cibles spécifiques et sélectionnées.
Les experts de BlackBerry Threat Intelligence et de KPMG ont pris des mesures après qu’une organisation éducative européenne (nom non révélé jusqu’à présent) ait été gravement touchée par un logiciel malveillant. Ils ont découvert que l’attaque avait été lancée à partir de l’installation d’une porte dérobée sur un serveur de réseau.
Après une période d’inactivité pour éviter d’éveiller les soupçons, l’envahisseur a utilisé la porte dérobée pour accéder au réseau de l’institution. Dès lors, plusieurs actions ont été effectuées, telles que la modification des mots de passe d’Active Directory et la désactivation des logiciels de sécurité.
La dernière étape a consisté à mettre en œuvre le logiciel de rançon. Plusieurs ordinateurs du réseau ont été touchés. Les chercheurs ont été surpris de constater que Tycoon est compilé dans JIMAGE (ou Java Image), un format inhabituel qui peut stocker des fichiers de classe et des ressources pour les modules Java (y compris les images).
Plutôt que de permettre au code de fonctionner sur différentes plateformes (Windows, Linux et autres), cette approche facilite l’action des logiciels malveillants car il n’est pas rare que les fichiers JIMAGE ne soient pas correctement vérifiés par les logiciels de sécurité.
Lorsqu’il entre en action, Tycoon crypte les fichiers des ordinateurs concernés à l’aide d’un algorithme AES de 256 bits. Les chercheurs ont même pu en décrypter certains à l’aide d’une clé achetée par l’une des victimes, mais l’astuce n’a pas fonctionné avec la plupart des fichiers.
Pour aggraver les choses, il semblerait que les dernières versions des logiciels de rançon utilisent des clés cryptographiques différentes pour chaque attaque, alors que les premières utilisent les mêmes clés pour différentes cibles.
Comme Tycoon ne se propage pas automatiquement, l’application des politiques de sécurité du réseau, la mise en place de mécanismes de protection et la mise à jour des systèmes d’exploitation sont autant d’actions (insignifiantes) qui peuvent entraver ou empêcher l’installation de logiciels malveillants.
