Recientemente se identificó la implementación de una nueva cepa de ransomware operada por humanos en ataques dirigidos a organizaciones pequeñas y medianas en las industrias de software y educación desde diciembre de 2019. El ransomware, denominado Tycoon, es un malware multiplataforma basado en el lenguaje de programación Java que puede utilizarse para cifrar dispositivos Windows y Linux. Tycoon es desplegado manualmente por sus operadores en un archivo comprimido con extensión ZIP, lo que les permite infiltrarse en las redes de sus víctimas utilizando servidores RDP vulnerables y expuestos a Internet. Si bien Tycoon se ha utilizado en el medio durante los últimos seis meses, aparentemente se está utilizando en ataques muy selectivos dado el número limitado de víctimas hoy en día. La composición en algunas de las direcciones de correo electrónico, así como el texto de la nota de rescate y la extensión utilizada para los archivos cifrados, sugiere una conexión entre Tycoon y el ransomware Dharma/CrySIS.

El mes pasado, Microsoft compartió información sobre PonyFinal, otro ransomware operado por humanos y basado en Java que se utiliza para realizar el cifrado en toda la red después de explotar el servidor de administración de sistemas de la víctima y apuntar a puntos finales que ejecutan Java Runtime Environment (JRE). Sin embargo, en ciertos casos, los atacantes implementan este ambiente de ejecución en una versión útil para el funcionamiento del ransomware.

PonyFinal también cifra archivos en una fecha y hora específicas, y se implementa al final de las campañas de ransomware operadas por humanos; se sabe que permanecen inactivas y esperan pacientemente el momento más oportuno para atacar. Según la investigación de Redmond, además de Tycoon y PonyFinal, la lista de ransomware operado por humanos también incluye RobbinHood, Maze, Vatet loader, REvil (Sodinokibi), NetWalker, Paradise, RagnarLocker, MedusaLocker y LockBit.

Referencias:
https://www.bleepingcomputer.com/news/security/new-tycoon-ransomware-targets-both-windows-and-linux-systems/
https://blogs.blackberry.com/en/2020/06/threat-spotlight-tycoon-ransomware-targets-education-and-software-sectors