Yanluowang Ransomware
Uma nova operação de ataque altamente direcionada implantando uma ameaça de ransomware nunca antes vista foi descoberta por pesquisadores da Infosec. O alvo da operação ameaçadora não foi divulgado, mas é descrito como uma grande organização proeminente. O nome da ameaça é Yanluowang Ransomware, devido à extensão que usa para marcar os arquivos que criptografa. Ele possui uma lista expandida de funcionalidades, mas de acordo com as descobertas dos especialistas em segurança cibernética, o Yanluowang Ransomware ainda está em seu estágio de desenvolvimento e pode se tornar ainda mais ameaçador no futuro.
Índice
Preparando o Ambiente
Antes que o ransomware seja entregue aos sistemas comprometidos, os invasores exploram a ferramenta legítima de consulta do Active Directory de linha de comando chamada AdFind. Essa ferramenta específica é frequentemente utilizada por cibercriminosos como uma forma de se mover lateralmente nas redes violadas.
A próxima etapa do ataque Yanluowang é preparar o ambiente do computador comprometido. Os hackers implantam uma ferramenta especializada que executa três tarefas principais. Primeiro, ele cria um arquivo de texto contendo o número de máquinas remotas que devem ser verificadas por meio da linha de comando. Em seguida, ele usa o Windows Management Instrumentation (WMI) legítimo para obter uma lista de todos os processos em execução nos sistemas listados no arquivo de texto. Finalmente, ele armazena todos os processos junto com o nome das máquinas remotas em um arquivo 'process.txt'.
A Funcionalidade do Yanluowang Ransomware
Essa ameaça de ransomware possui todas as funções prejudiciais típicas esperadas de uma ameaça desse tipo. Ela inicia um processo de criptografia que bloqueia os arquivos no sistema infectado com um algoritmo forte. Cada arquivo bloqueado terá '.yanluowang' anexado ao seu nome original. No entanto, antes de iniciar sua criptografia, a ameaça executa duas ações preparatórias. A ameaça de ransomware encerra todas as máquinas virtuais do hipervisor, se estiverem em execução no computador infectado. Em seguida, ela examina o arquivo 'process.txt' e encerra todos os processos listados lá, incluindo SQL e a solução de backup e proteção de dados Veeam. A etapa final realizada pela ameaça é entregar uma nota de resgate com instruções para sua vítima.
Detalhes sobre a Nota de Resgate
A nota revela que os hackers não se contentam em simplesmente bloquear o arquivo da vítima e extorquir dinheiro para sua possível restauração. Se suas demandas não forem atendidas, os cibercriminosos declaram que estão prontos para lançar ataques DDoS (Negação de Serviço Distribuída) contra a vítima, vão começar a ligar para funcionários e parceiros de negócios da entidade e, finalmente, vão realizar outro ataque em alguns de semanas para excluir todos os dados da vítima. Além disso, a nota do Yanluowang Ransomware afirma que grandes quantidades de dados privados já foram coletados.
