lackBerry研究人员最近发现一种用Java编写的新勒索软件Tycoon，该勒索软件通过面向internet的RDP跳板服务器进行初始攻击，目标为组织中的域控服务器和文件服务器。为了实现持久性，攻击者使用了"图像文件执行选项注入(IFEO)"技术。然后在操作系统的Microsoft Windows屏幕键盘(OSK)功能旁边执行了后门操作。攻击者使用ProcessHacker实用程序禁用了企业组织的反恶意软件解决方案，并更改了Active Directory服务器的密码，以使受害者无法访问其系统。大多数攻击者文件都带有时间戳，包括Java库和执行脚本。最后，攻击者执行了Java勒索软件模块，对所有文件服务器进行了加密，包括连接到网络的备份系统。这些文件使用Galois/Counter(GCM)模式的AES-256算法进行加密，并使用16字节长的GCM身份验证标记，以确保数据完整性，每个文件将使用不同的AES密钥加密，然后使用攻击者的RSA-1024公钥加密并保存在块元数据块中。Tycoon已经被发现了至少六个月，但受害人数似乎有限，这表明该恶意软件可能具有很高的针对性。一些电子邮件地址中的重叠以及勒索便笺的文本和用于加密文件的命名约定，表明Tycoon与Dharma/CrySIS勒索软件之间存在联系。