Yanluowang Ransomware
Исследователи информационной безопасности раскрыли новую операцию целенаправленной атаки с использованием невиданной ранее угрозы вымогателя. Цель угрожающей операции не разглашается, но описывается как крупная крупная организация. Угроза получила название Yanluowang Ransomware в честь расширения, которое она использует для пометки зашифрованных файлов. Он обладает расширенным списком функций, но, согласно выводам экспертов по кибербезопасности, Yanluowang Ransomware все еще находится на стадии разработки и может стать еще более опасным в будущем.
Оглавление
Подготовка окружающей среды
Прежде чем программа-вымогатель будет доставлена в скомпрометированные системы, злоумышленники используют законный инструмент запросов Active Directory из командной строки под названием AdFind. Этот конкретный инструмент часто используется киберпреступниками в качестве способа латерального перемещения внутри взломанных сетей.
Следующим шагом атаки Yanluowang является подготовка среды скомпрометированного компьютера. Хакеры используют специализированный инструмент, который выполняет три основные задачи. Во-первых, он создает текстовый файл, содержащий количество удаленных машин, которые должны быть проверены через командную строку. Затем он использует законный инструментарий управления окнами (WMI) для получения списка всех процессов, запущенных в системах, перечисленных в текстовом файле. Наконец, он хранит все процессы вместе с именами удаленных машин в файле «process.txt».
Функциональность программы-вымогателя Yanluowang
Угроза вымогателя обладает всеми типичными вредоносными функциями, ожидаемыми от угрозы этого типа. Он запускает процесс шифрования, который блокирует файлы в зараженной системе с помощью надежного алгоритма. К исходному имени каждого заблокированного файла будет добавлено «.yanluowang». Однако перед тем, как начать свое шифрование, угроза выполняет два подготовительных действия. Угроза вымогателя завершает работу всех виртуальных машин гипервизора, если они работают на зараженном компьютере. Затем он просматривает файл «process.txt» и завершает все перечисленные в нем процессы, включая SQL и решение Veeam для резервного копирования и защиты данных. Последний шаг, выполняемый угрозой, - это доставка выкупа с инструкциями для своей жертвы.
Подробности записки о выкупе
В записке говорится, что хакеров не устраивает простая блокировка файла жертвы и вымогательство денег за их возможное восстановление. Если их требования не будут выполнены, киберпреступники заявляют, что готовы запустить DDoS-атаки (распределенный отказ в обслуживании) против жертвы, начнут звонить сотрудникам и бизнес-партнерам организации и, наконец, проведут еще одну атаку через пару недель. удалить все данные жертвы. Кроме того, в заметке Yanluowang Ransomware утверждается, что уже были собраны огромные объемы личных данных.
