Yanluowang Ransomware
I ricercatori di infosec hanno scoperto una nuova operazione di attacco altamente mirata che implementa una minaccia ransomware mai vista prima. L'obiettivo dell'operazione minacciosa non è stato reso noto, ma è descritto come una grande organizzazione di spicco. La minaccia si chiama Yanluowang Ransomware dopo l'estensione che utilizza per contrassegnare i file che crittografa. Possiede un elenco ampliato di funzionalità, ma secondo i risultati degli esperti di sicurezza informatica, Yanluowang Ransomware è ancora in fase di sviluppo e potrebbe diventare ancora più minaccioso in futuro.
Sommario
Preparare l’Ambiente
Prima che il ransomware venga consegnato ai sistemi compromessi, gli aggressori sfruttano lo strumento di query di Active Directory da riga di comando legittimo denominato AdFind. Questo particolare strumento viene spesso abusato dai criminali informatici come un modo per spostarsi lateralmente all'interno delle reti violate.
Il prossimo passo dell'attacco Yanluowang è preparare l'ambiente del computer compromesso. Gli hacker utilizzano uno strumento specializzato che svolge tre compiti principali. Innanzitutto, crea un file di testo contenente il numero di macchine remote che devono essere controllate tramite la riga di comando. Quindi, utilizza il legittimo Window Management Instrumentation (WMI) per ottenere un elenco di tutti i processi in esecuzione sui sistemi elencati nel file di testo. Infine, memorizza tutti i processi insieme al nome delle macchine remote in un file 'processes.txt'.
Funzionalità di Yanluowang Ransomware
La minaccia ransomware possiede tutte le tipiche funzioni dannose previste da una minaccia di questo tipo. Avvia un processo di crittografia che blocca i file sul sistema infetto con un forte algoritmo. Ogni file bloccato avrà '.yanluowang' aggiunto al suo nome originale. Tuttavia, prima di avviare la crittografia, la minaccia esegue due azioni preparatorie. La minaccia ransomware interrompe tutte le macchine virtuali hypervisor se queste sono in esecuzione sul computer infetto. Quindi esamina il file "processes.txt" e termina tutti i processi ivi elencati, inclusi SQL e la soluzione di backup e protezione dei dati Veeam. Il passaggio finale eseguito dalla minaccia è quello di consegnare un riscatto con le istruzioni per la sua vittima.
Dettagli della richiesta di riscatto
La nota rivela che gli hacker non si accontentano di bloccare semplicemente il file della vittima ed estorcere denaro per il loro potenziale ripristino. Se le loro richieste non vengono soddisfatte, i criminali informatici dichiarano di essere pronti a lanciare attacchi DDoS (Distributed Denial of Service) contro la vittima, inizieranno a chiamare dipendenti e partner commerciali dell'entità e, infine, condurranno un altro attacco in un paio di settimane cancellare tutti i dati della vittima. Inoltre, la nota Yanluowang Ransomware afferma che sono già state raccolte grandi quantità di dati privati.
