Threat Database Ransomware Yanluowang Ransomware

Yanluowang Ransomware

En ny mycket målinriktad attackoperation som distribuerar ett hot mot ransomware som hittades aldrig upptäcktes av infosec-forskare. Målet för den hotfulla operationen har inte avslöjats men det beskrivs som en framstående stor organisation. Hotet heter Yanluowang Ransomware efter tillägget det använder för att markera filerna som det krypterar. Den har en utökad lista över funktioner, men enligt cybersäkerhetsexperternas resultat är Yanluowang Ransomware fortfarande i sitt utvecklingsstadium och kan bli ännu mer hotfull i framtiden.

Förbereda miljön

Innan ransomware levereras till de komprometterade systemen utnyttjar angriparna det legitima kommandoradsverktyget Active Directory-frågeverktyg som heter AdFind. Det här verktyget missbrukas ofta av cyberkriminella som ett sätt att röra sig i sidled inom kränkta nätverk.

Nästa steg i Yanluowang -attacken är att förbereda miljön för den komprometterade datorn. Hackarna distribuerar ett specialiserat verktyg som utför tre huvuduppgifter. Först skapar den en textfil som innehåller antalet fjärrdatorer som ska kontrolleras via kommandoraden. Sedan använder den det legitima Window Management Instrumentation (WMI) för att få en lista över alla processer som körs på systemen som listas i textfilen. Slutligen lagrar den alla processer vid sidan av namnet på fjärrmaskinerna i en 'process.txt' -fil.

Yanluowang Ransomwares funktion

Ransomware -hotet har alla de typiska skadliga funktioner som förväntas av ett hot av denna typ. Det initierar en krypteringsprocess som låser filerna på det infekterade systemet med en stark algoritm. Varje låst fil kommer att ha '.yanluowang' bifogat sitt ursprungliga namn. Innan hotkrypteringen startar utför dock dock två förberedande åtgärder. Hotet mot ransomware avslutar alla virtuella hypervisor -maskiner om sådana körs på den infekterade datorn. Den tittar sedan på filen 'process.txt' och avslutar alla processer som listas där, inklusive SQL och säkerhetskopierings- och dataskyddslösningen Veeam. Det sista steget som hotet utfört är att leverera en lösensumma med instruktioner för sitt offer.

Ransom Notes detaljer

Anteckningen avslöjar att hackarna inte är nöjda med att bara låsa offrets fil och utpressa pengar för deras potentiella restaurering. Om deras krav inte uppfylls uppger cyberbrottslingar att de är redo att starta DDoS -attacker (Distributed Denial of Service) mot offret, kommer att ringa anställda och affärspartners till enheten och slutligen genomföra en annan attack om ett par veckor att radera all offrets uppgifter. Dessutom påstår Yanluowang Ransomware -noten att stora mängder privat data redan har samlats in.

Trendigt

Mest sedda

Läser in...