Ransomware Yanluowang
Nová vysoce cílená útočná operace využívající dosud neviděnou hrozbu ransomwaru byla objevena výzkumníky infosec. Cíl výhružné operace nebyl zveřejněn, ale je popisován jako prominentní velká organizace. Hrozba má název Yanluowang Ransomware podle rozšíření, které používá k označení souborů, které šifruje. Disponuje rozšířeným seznamem funkcí, ale podle zjištění odborníků na kybernetickou bezpečnost je Yanluowang Ransomware stále ve stádiu vývoje a v budoucnu by mohl být ještě hrozivější.
Obsah
Příprava prostředí
Než bude ransomware dodán do ohrožených systémů, útočníci zneužijí legitimní nástroj pro dotazování na příkazovém řádku Active Directory s názvem AdFind. Tento konkrétní nástroj je často zneužíván kyberzločinci jako způsob, jak se pohybovat laterálně v narušených sítích.
Dalším krokem útoku Yanluowang je připravit prostředí kompromitovaného počítače. Hackeři nasadili specializovaný nástroj, který provádí tři hlavní úkoly. Nejprve vytvoří textový soubor obsahující počet vzdálených počítačů, které mají být zkontrolovány pomocí příkazového řádku. Potom použije legitimní nástroj WMI (Window Management Instrumentation) k získání seznamu všech procesů spuštěných v systémech uvedených v textovém souboru. Nakonec ukládá všechny procesy vedle názvu vzdálených počítačů do souboru 'process.txt'.
Funkčnost Yanluowang Ransomware
Hrozba ransomwaru má všechny typické škodlivé funkce očekávané od hrozby tohoto typu. Zahájí proces šifrování, který uzamkne soubory v infikovaném systému pomocí silného algoritmu. Každý uzamčený soubor bude mít k původnímu názvu připojen '.yanluowang'. Před zahájením šifrování však hrozba provede dvě přípravné akce. Hrozba ransomwaru ukončí všechny virtuální počítače hypervisoru, pokud jsou spuštěny na infikovaném počítači. Poté se podívá do souboru 'process.txt' a ukončí všechny zde uvedené procesy, včetně SQL a řešení pro zálohování a ochranu dat Veeam. Posledním krokem hrozby je doručení výkupného s pokyny pro jeho oběť.
Podrobnosti o výkupném
Poznámka ukazuje, že hackeři nejsou spokojeni s jednoduchým zamčením souboru oběti a vydíráním peněz za jejich potenciální obnovu. Pokud nejsou jejich požadavky splněny, kyberzločinci prohlásí, že jsou připraveni zahájit útoky DDoS (Distributed Denial of Service) proti oběti, začnou volat zaměstnance a obchodní partnery subjektu a nakonec za pár týdnů provedou další útok vymazat všechna data oběti. Poznámka Yanluowang Ransomware navíc tvrdí, že již bylo shromážděno obrovské množství soukromých dat.
