Threat Database Ransomware Yanluowang-ransomware

Yanluowang-ransomware

Infosec-onderzoekers hebben een nieuwe, zeer gerichte aanvalsoperatie ontdekt waarbij een nooit eerder vertoonde ransomware-dreiging werd ingezet. Het doelwit van de dreigende operatie is niet bekendgemaakt, maar het wordt beschreven als een prominente grote organisatie. De dreiging heet Yanluowang Ransomware naar de extensie die het gebruikt om de bestanden te markeren die het versleutelt. Het beschikt over een uitgebreide lijst met functionaliteiten, maar volgens de bevindingen van de cyberbeveiligingsexperts bevindt de Yanluowang Ransomware zich nog in de ontwikkelingsfase en zou in de toekomst zelfs nog bedreigender kunnen worden.

De omgeving voorbereiden

Voordat de ransomware wordt afgeleverd bij de gecompromitteerde systemen, maken de aanvallers gebruik van de legitieme opdrachtregel Active Directory-querytool genaamd AdFind. Deze specifieke tool wordt vaak misbruikt door cybercriminelen als een manier om lateraal te bewegen binnen gehackte netwerken.

De volgende stap van de Yanluowang-aanval is het voorbereiden van de omgeving van de besmette computer. De hackers zetten een gespecialiseerde tool in die drie hoofdtaken uitvoert. Ten eerste maakt het een tekstbestand met het aantal externe machines dat via de opdrachtregel moet worden gecontroleerd. Vervolgens gebruikt het de legitieme Window Management Instrumentation (WMI) om een lijst te verkrijgen van alle processen die worden uitgevoerd op de systemen die in het tekstbestand worden vermeld. Ten slotte slaat het alle processen op naast de naam van de machines op afstand in een 'processes.txt'-bestand.

Functionaliteit van Yanluowang Ransomware

De ransomware-dreiging bezit alle typische schadelijke functies die verwacht worden van een dreiging van dit type. Het start een coderingsproces dat de bestanden op het geïnfecteerde systeem vergrendelt met een sterk algoritme. Aan elk vergrendeld bestand wordt '.yanluowang' toegevoegd aan de oorspronkelijke naam. Voordat de dreiging echter begint met versleutelen, voert hij twee voorbereidende acties uit. De ransomware-dreiging beëindigt alle virtuele hypervisor-machines als deze op de geïnfecteerde computer worden uitgevoerd. Vervolgens kijkt het naar het bestand 'processes.txt' en beëindigt het alle processen die daar worden vermeld, inclusief SQL en de back-up- en gegevensbeschermingsoplossing Veeam. De laatste stap die door de dreiging wordt uitgevoerd, is het leveren van een losgeld met instructies voor het slachtoffer.

Details van losgeldbrief

Uit de notitie blijkt dat de hackers niet tevreden zijn met het eenvoudigweg sluiten van het dossier van het slachtoffer en het afpersen van geld voor hun mogelijke herstel. Als niet aan hun eisen wordt voldaan, verklaren de cybercriminelen dat ze klaar zijn om DDoS-aanvallen (Distributed Denial of Service) tegen het slachtoffer te lanceren, werknemers en zakenpartners van de entiteit gaan bellen en tot slot binnen een paar weken een nieuwe aanval zullen uitvoeren om alle gegevens van het slachtoffer te verwijderen. Bovendien beweert de Yanluowang Ransomware-nota dat er al enorme hoeveelheden privégegevens zijn verzameld.

Trending

Meest bekeken

Bezig met laden...