Yanluowang Ransomware
Изследователи на infosec откриха нова високо целенасочена операция за атака, която разгръща неизвестна досега заплаха от ransomware. Целта на заплашителната операция не е разкрита, но е описана като видна голяма организация. Заплахата е наречена Yanluowang Ransomware след разширението, което използва за маркиране на файловете, които шифрова. Той притежава разширен списък с функционалности, но според констатациите на експертите по киберсигурност, Ransomware Yanluowang все още е в етап на разработване и може да стане още по -застрашаващ в бъдеще.
Съдържание
Подготовка на околната среда
Преди рансъмуерът да бъде доставен на компрометираните системи, нападателите използват легитимния инструмент за заявки на Active Directory от командния ред, наречен AdFind. Този конкретен инструмент често се злоупотребява от киберпрестъпниците като начин за придвижване странично в нарушени мрежи.
Следващата стъпка от атаката на Yanluowang е подготовката на средата на компрометирания компютър. Хакерите внедряват специализиран инструмент, който изпълнява три основни задачи. Първо, той създава текстов файл, съдържащ броя на отдалечените машини, които трябва да бъдат проверени чрез командния ред. След това той използва легитимната инструментария за управление на прозорци (WMI), за да получи списък с всички процеси, изпълнявани в системите, изброени в текстовия файл. И накрая, той съхранява всички процеси заедно с името на отдалечените машини във файл „process.txt“.
Функционалността на Yanluowang Ransomware
Заплахата от ransomware притежава всички типични вредни функции, очаквани от заплаха от този тип. Той инициира процес на криптиране, който заключва файловете в заразената система със силен алгоритъм. Всеки заключен файл ще има „.yanluowang“, добавен към първоначалното си име. Въпреки това, преди да започне криптирането си, заплахата изпълнява две подготвителни действия. Заплахата с ransomware прекратява всички виртуални машини на хипервизор, ако такава работи на заразения компютър. След това той разглежда файла „process.txt“ и прекратява всички изброени там процеси, включително SQL и решението за архивиране и защита на данни Veeam. Последната стъпка, извършена от заплахата, е да даде откуп с инструкции за жертвата си.
Подробности за Ransom Note
Бележката разкрива, че хакерите не са доволни от простото заключване на досието на жертвата и изнудването на пари за тяхното потенциално възстановяване. Ако техните искания не бъдат изпълнени, киберпрестъпниците заявяват, че са готови да започнат DDoS (разпределено отказване на услуга) атаки срещу жертвата, ще започнат да се обаждат на служители и бизнес партньори на предприятието и накрая ще извършат нова атака след няколко седмици за да изтриете всички данни на жертвата. В допълнение, бележката на Yanluowang Ransomware твърди, че вече са събрани огромни количества лични данни.
