Yanluowang Ransomware
En ny meget målrettet angrebsoperation, der implementerede en aldrig før set ransomware-trussel, blev afdækket af infosec-forskere. Målet for den truende operation er ikke oplyst, men det beskrives som en fremtrædende stor organisation. Truslen hedder Yanluowang Ransomware efter den udvidelse, den bruger til at markere de filer, den krypterer. Det besidder en udvidet liste over funktionaliteter, men ifølge cybersikkerhedseksperternes resultater er Yanluowang Ransomware stadig i sin udviklingsfase og kan blive endnu mere truende i fremtiden.
Indholdsfortegnelse
Forberedelse af miljøet
Inden ransomware leveres til de kompromitterede systemer, udnytter angriberne det legitime Active Directory-forespørgselsværktøj med navnet AdFind. Dette særlige værktøj misbruges ofte af cyberkriminelle som en måde at bevæge sig lateralt inden for brudte netværk.
Det næste trin i Yanluowang -angrebet er at forberede miljøet på den kompromitterede computer. Hackerne implementerer et specialiseret værktøj, der udfører tre hovedopgaver. Først opretter den en tekstfil, der indeholder antallet af eksterne maskiner, der skal kontrolleres via kommandolinjen. Derefter bruger den den legitime Window Management Instrumentation (WMI) til at få en liste over alle processer, der kører på de systemer, der er angivet i tekstfilen. Endelig gemmer den alle processer ved siden af navnet på de eksterne maskiner i en 'process.txt' -fil.
Yanluowang Ransomwares funktionalitet
Ransomware -truslen besidder alle de typiske skadelige funktioner, der forventes af en trussel af denne type. Det starter en krypteringsproces, der låser filerne på det inficerede system med en stærk algoritme. Hver låst fil vil have '.yanluowang' tilføjet til sit oprindelige navn. Inden truslen startes, udfører truslen imidlertid to forberedende handlinger. Truslen mod ransomware afslutter alle virtuelle hypervisor -maskiner, hvis sådan kører på den inficerede computer. Den ser derefter på filen 'processes.txt' og afslutter alle de processer, der er angivet der, herunder SQL og backup- og databeskyttelsesløsningen Veeam. Det sidste trin udført af truslen er at levere en løsesum med instruktioner til sit offer.
Løsesum note detaljer
Noten afslører, at hackerne ikke er tilfredse med blot at låse offerets fil og afpresse penge til deres potentielle restaurering. Hvis deres krav ikke er opfyldt, oplyser cyberkriminelle, at de er klar til at iværksætte DDoS (Distributed Denial of Service) -angreb mod offeret, vil begynde at ringe til medarbejder og forretningspartnere i virksomheden og til sidst foretage et nyt angreb om et par uger at slette alle ofrets data. Derudover hævder Yanluowang Ransomware -notatet, at der allerede er blevet indsamlet enorme mængder af private data.
