Yanluowang Ransomware
Badacze infosec odkryli nową, wysoce ukierunkowaną operację ataku, wykorzystującą nigdy wcześniej nie widziane zagrożenie ransomware. Cel groźnej operacji nie został ujawniony, ale jest opisywany jako wybitna duża organizacja. Zagrożenie nosi nazwę Yanluowang Ransomware po rozszerzeniu, którego używa do oznaczania zaszyfrowanych plików. Posiada rozszerzoną listę funkcji, ale zgodnie z ustaleniami ekspertów ds. cyberbezpieczeństwa, Yanluowang Ransomware jest nadal w fazie rozwoju i może stać się jeszcze bardziej groźny w przyszłości.
Spis treści
Przygotowanie środowiska
Zanim ransomware zostanie dostarczony do zaatakowanych systemów, osoby atakujące wykorzystują legalne narzędzie do wysyłania zapytań Active Directory z wiersza poleceń o nazwie AdFind. To konkretne narzędzie jest często wykorzystywane przez cyberprzestępców jako sposób na boczne poruszanie się w naruszonych sieciach.
Następnym krokiem ataku Yanluowang jest przygotowanie środowiska zaatakowanego komputera. Hakerzy wdrażają specjalistyczne narzędzie, które wykonuje trzy główne zadania. Najpierw tworzy plik tekstowy zawierający liczbę zdalnych maszyn, które mają być sprawdzone za pomocą wiersza poleceń. Następnie używa legalnego narzędzia Windows Management Instrumentation (WMI), aby uzyskać listę wszystkich procesów uruchomionych w systemach wymienionych w pliku tekstowym. Na koniec przechowuje wszystkie procesy wraz z nazwami zdalnych maszyn w pliku „processes.txt”.
Funkcjonalność Yanluowang Ransomware
Zagrożenie ransomware posiada wszystkie typowe szkodliwe funkcje oczekiwane od tego typu zagrożenia. Inicjuje proces szyfrowania, który blokuje pliki w zainfekowanym systemie za pomocą silnego algorytmu. Każdy zablokowany plik będzie miał dodany do oryginalnej nazwy „.yanluowang”. Jednak przed rozpoczęciem szyfrowania zagrożenie wykonuje dwie czynności przygotowawcze. Zagrożenie ransomware zamyka wszystkie maszyny wirtualne hipernadzorcy, jeśli takie działają na zainfekowanym komputerze. Następnie przegląda plik „processes.txt” i kończy wszystkie wymienione tam procesy, w tym SQL oraz rozwiązanie Veeam do tworzenia kopii zapasowych i ochrony danych. Ostatnim krokiem wykonywanym przez zagrożenie jest dostarczenie okupu wraz z instrukcjami dla ofiary.
Szczegóły notatki o okupie
Notatka ujawnia, że hakerzy nie są zadowoleni z samego zablokowania pliku ofiary i wyłudzenia pieniędzy na ich potencjalną odbudowę. Jeśli ich żądania nie zostaną spełnione, cyberprzestępcy oświadczają, że są gotowi do przeprowadzenia ataków DDoS (Distributed Denial of Service) na ofiarę, zaczną dzwonić do pracowników i partnerów biznesowych podmiotu, a ostatecznie za kilka tygodni przeprowadzą kolejny atak usunąć wszystkie dane ofiary. Ponadto notatka Yanluowang Ransomware twierdzi, że zebrano już ogromne ilości prywatnych danych.
