Javaで書かれたランサムウエア



A sophisticated strain of ransomware called Tycoon has been selectively targeting education and
software companies since December 2019, according to a joint report released this week by
BlackBerry and KPMG's UK Cyber Response Services.
2019年12月頃から、教育とソフト会社を狙ったTycoon(タイクーン)という新たなランサムウエアがあるようだ
とBlackBerryとKPMGとレポートを出した。

Tycoon can target both Windows and Linux systems and has the ability
to remain hidden for long periods of time from security tools
TycoonはWindowsとLinuxをターゲットとしており、セキュリティツールなどから長い間隠れることができるようです。

One reason for Tycoon's stealth abilities is that ransomware is written in Java and
is deployed in the form of a Trojanized Java Runtime Environment. In addition,
the malware is compiled in an obscure Java image file format - called Jimage -
that also helps it avoid detection from security tools, according to the report.
Tycoonのステルス能力のひとつが、Javaで書かれていることだ(Trojan化されたJavaランタイム環境で展開されます)
そしてこのマルウェアは、Jimageと呼ばれるあいまいなJavaイメージファイル形式でコンパイルされます。
レポートによると、これはセキュリティツールからの検出を回避するのにも役立つようです。

"Developing the ransomware in platform-independent language like Java
the actors can target any type of operating system with this ransomware."
Javaのようなプラットフォーム依存しない言語でランサムウェアを開発することで、攻撃者はあらゆるタイプの
オペレーティングシステムを標的にすることができます。

Since Tycoon is not designed to be distributed through phishing or spam emails,
the BlackBerry analysts believe that its operators exploit vulnerabilities in
remote desktop protocols as part of the initial attack.
どうやら、これまでのランサムウエアと違って、どうやらフィッシングやスパム経由で拡散するタイプのものではないようで、
リモートデスクトップなどの脆弱性を突くのを第一ステップとしてるようです

Once the attackers gain an initial foothold, they look to maintain persistence
in the network by using a technique called Image File Execution Options injection,
also known as IFEO.
一旦侵入できると、Image File Execution Optios Injection(IFEO)という手法を使い、接続性を維持するようにします。

This technique then gives the attackers additional privileges within the infected
network and allows them to install a backdoor, disable anti-malware software and
change passwords in Windows Active Directory, according to BlackBerry.
また、バックドアを作成して、アンチウイルスを無効にし、Active Directoryのパスワード変更を可能にします。

Finally, the Tycoon ransomware is delivered in a zip archive file that contains
the Trojanized Java Runtime Environment build as well as the Jimage file that
helps the malware avoid detection,
最終的には、アンチウイルスなどの検出されることなくTycoonランサムウエアをzipで運ぶことができます
※どうやら「.redrum」「.grinch」「.thanos」などの拡張子をつけるようです

The BlackBerry report also contains a copy of the ransom note,
where the operators of Tycoon demand payment in bitcoin, and
the victim has 24 hours to respond or the price will increase.
これまでのランサムウエアと同じように、Tycoonもビットコインでの支払いを要求するようです。
そして被害者は24時間以内に対応する必要があります、さもなければ増額になるようです。

In May, the Microsoft Security Intelligence team warned of another
ransomware strain called PonyFinal, which has also been developed in Java
5月にマクロソフトが他にもJavaで書かれたPonyFinalというランサムウエアの注意を出したところだ

確か昨年にRDPの重大な脆弱性も出ているし、そろそろ会社PCに対して、
アンチウイルスではなく、はランサム標準の対応にシフトすることも考えた方がいいだろう

参考ページ:Tycoon Ransomware Targets Windows, Linux Systems

NEWS & TOPICS 一覧に戻る