一种新发现的勒索软件正在针对Windows和Linux系统展开一场有针对性的行动。

该勒索软件在代码中提到了“大亨”，自2019年12月以来一直很活跃，看起来是网络罪犯的工作，他们对目标进行了高度选择性的攻击。该恶意软件还使用了一种不常见的部署技术，帮助隐藏在受危害的网络上。

大亨的主要目标是教育和软件行业的组织。

黑莓(BlackBerry)的研究人员与毕马威(KPMG)的安全分析师合作，发现并详述了一名企业界大亨。这是一种不寻常的勒索软件，因为它是用Java编写的，作为木马化的Java运行时环境部署，并编译在Java映像文件(Jimage)中以隐藏恶意意图。

这两种方法都很独特。Java很少用于编写端点恶意软件，因为它需要Java运行时环境才能运行代码。黑莓研究和情报副总裁埃里克•米拉姆告诉ZDNet网站。

攻击者正在转向不常见的编程语言和模糊的数据格式。在这里，攻击者不需要隐藏他们的代码，但仍然成功地实现了他们的目标，”他补充说。

不过，勒索软件攻击的第一阶段并不少见，最初是通过面向互联网的不安全RDP服务器进行的。这是一个常见的恶意软件攻击载体，它经常利用服务器与弱或之前泄露的密码。

参见:网络安全制胜战略(ZDNet特别报道)

一旦进入网络，攻击者通过使用映像文件执行选项(IFEO)注入设置来保持持久性，这些设置通常为开发人员提供了调试软件的能力。攻击者也使用特权禁用反恶意软件使用ProcessHacker，以停止删除他们的攻击。

Milam说:“勒索软件可以用Java等高级语言实现，没有混淆，并以意想不到的方式执行。”

在执行后，勒索软件用扩展名为。redrum，。grinch和。thanos的大亨们加密的文件对网络进行加密——攻击者要求以赎金换取解密密钥。攻击者要求用比特币支付，并声称价格取决于受害者通过电子邮件联系的速度。

这场运动仍在进行的事实表明，幕后的那些人正在成功地向受害者勒索钱财。

研究人员认为，《大亨》可能与另一种勒索软件“达摩”(Dharma)——又名“孤岛危机”(Crysis)——有关联，因为电子邮件地址、加密文件名称和勒索信的文本都很相似。

虽然Tycoon确实有一些独特的方法来执行感染，就像其他形式的勒索软件一样，它有可能阻止它走到那一步。

由于RDP是一种常见的妥协手段，组织可以确保唯一面向互联网的外部端口是那些绝对需要它的端口。

组织还应该确保那些确实需要访问这些端口的账户没有使用默认凭证或弱密码，因为这些很容易被猜测为入侵的手段。

发布安全补丁也可以防止许多勒索软件攻击，因为它可以阻止犯罪分子利用已知的漏洞。各组织还应确保它们定期备份自己的网络——而且备份是可靠的——这样，如果最坏的情况发生，网络就可以恢复，而不会屈服于网络犯罪分子的要求。