Yanluowang Ransomware
Infosec araştırmacıları, daha önce hiç görülmemiş bir fidye yazılımı tehdidini dağıtan yüksek oranda hedefli yeni bir saldırı operasyonu ortaya çıkardı. Tehditkar operasyonun hedefi açıklanmadı, ancak önde gelen büyük bir örgüt olarak tanımlanıyor. Tehdit, şifrelediği dosyaları işaretlemek için kullandığı uzantıdan sonra Yanluowang Ransomware olarak adlandırılıyor. Genişletilmiş bir işlevsellik listesine sahiptir, ancak siber güvenlik uzmanlarının bulgularına göre, Yanluowang Ransomware hala geliştirme aşamasındadır ve gelecekte daha da tehdit edici hale gelebilir.
İçindekiler
Ortamın Hazırlanması
Fidye yazılımı, güvenliği ihlal edilmiş sistemlere teslim edilmeden önce, saldırganlar AdFind adlı meşru komut satırı Active Directory sorgulama aracından yararlanır. Bu özel araç, siber suçlular tarafından, ihlal edilen ağlarda yanlamasına hareket etmenin bir yolu olarak sıklıkla kötüye kullanılır.
Yanluowang saldırısının bir sonraki adımı, güvenliği ihlal edilmiş bilgisayarın ortamını hazırlamaktır. Bilgisayar korsanları, üç ana görevi yerine getiren özel bir araç kullanır. İlk olarak, komut satırı aracılığıyla kontrol edilecek uzak makinelerin sayısını içeren bir metin dosyası oluşturur. Ardından, metin dosyasında listelenen sistemlerde çalışan tüm işlemlerin bir listesini elde etmek için meşru Pencere Yönetim Araçları'nı (WMI) kullanır. Son olarak, tüm işlemleri uzaktaki makinelerin adıyla birlikte bir 'processes.txt' dosyasında saklar.
Yanluowang Ransomware’in İşlevselliği
Fidye yazılımı tehdidi, bu tür bir tehditten beklenen tüm tipik zararlı işlevlere sahiptir. Güçlü bir algoritma ile virüslü sistemdeki dosyaları kilitleyen bir şifreleme işlemi başlatır. Her kilitli dosyanın orijinal adına '.yanluowang' eklenecektir. Ancak, şifrelemeye başlamadan önce tehdit iki hazırlık eylemi gerçekleştirir. Fidye yazılımı tehdidi, virüs bulaşmış bilgisayarda çalışıyorsa, tüm hiper yönetici sanal makinelerini sonlandırır. Ardından 'processes.txt' dosyasına bakar ve SQL ile yedekleme ve veri koruma çözümü Veeam dahil olmak üzere burada listelenen tüm işlemleri sonlandırır. Tehdit tarafından gerçekleştirilen son adım, kurbanı için talimatlar içeren bir fidye teslim etmektir.
Fidye Notunun Ayrıntıları
Not, bilgisayar korsanlarının kurbanın dosyasını kilitlemekle ve potansiyel restorasyonları için zorla para almakla yetinmediğini ortaya koyuyor. Siber suçlular, taleplerinin karşılanmaması durumunda mağdura karşı DDoS (Dağıtılmış Hizmet Reddi) saldırıları başlatmaya hazır olduklarını, kurumun çalışanlarını ve iş ortaklarını aramaya başlayacaklarını ve son olarak birkaç hafta içinde yeni bir saldırı gerçekleştireceklerini belirtiyorlar. kurbanın tüm verilerini silmek için. Ek olarak, Yanluowang Ransomware notu, büyük miktarda özel verinin halihazırda toplandığını iddia ediyor.
