Ένα νέο και ακόμη υπό ανάπτυξη είδος ransomware χρησιμοποιείται σε ιδιαίτερα στοχευμένες επιθέσεις εναντίον επιχειρησιακών οντοτήτων, όπως ανακάλυψε η Symantec Threat Hunter Team. Το malware, ονομάζεται Yanluowang ransomware εξαιτίας της επέκτασης που προσθέτει σε κρυπτογραφημένα αρχεία σε παραβιασμένα συστήματα.
Δείτε επίσης: Νέο Python ransomware: Κρυπτογράφησε σύστημα μέσα σε τρεις ώρες
Εντοπίστηκε πρόσφατα κατά τη διερεύνηση ενός περιστατικού που αφορούσε έναν οργανισμό υψηλού προφίλ μετά τον εντοπισμό ύποπτης δραστηριότητας που αφορούσε το νόμιμο εργαλείο Active Directory της γραμμής εντολών AdFind.
Το AdFind χρησιμοποιείται συνήθως από χειριστές ransomware για εργασίες reconnaisance, συμπεριλαμβανομένης της πρόσβασης σε πληροφορίες που απαιτούνται για πλευρική κίνηση μέσω των δικτύων των θυμάτων τους.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Δείτε επίσης: Παγκόσμιες συναντήσεις για τα ransomware: Ρωσία και Κίνα έμειναν εκτός
Τα θύματα δέχτηκαν προειδοποίηση που έλεγε να μην ζητήσουν βοήθεια
Τις μέρες που οι ερευνητές εντόπισαν την ύποπτη χρήση του AdFind, οι επιτιθέμενοι προσπάθησαν να αναπτύξουν τα ransomware payloads Yanluowang στα συστήματα του παραβιασμένου οργανισμού.
Πριν από την ανάπτυξη σε παραβιασμένες συσκευές, οι χειριστές ransomware εκτοξεύουν ένα κακόβουλο εργαλείο σχεδιασμένο να εκτελεί τις ακόλουθες ενέργειες:
- Δημιουργεί ένα αρχείο .txt με τον αριθμό των απομακρυσμένων μηχανών για έλεγχο στη γραμμή εντολών
- Χρησιμοποιεί τα Windows Management Instrumentation (WMI) για να λάβει μια λίστα διεργασιών που εκτελούνται στα απομακρυσμένα μηχανήματα που αναφέρονται στο αρχείο .txt
- Καταγράφει όλα τα processes και τα απομακρυσμένα ονόματα μηχανών στα processes.txt
Μόλις αναπτυχθεί, το Yanluowang θα σταματήσει τις εικονικές μηχανές hypervisor, θα τερματίσει όλες τις διαδικασίες που συλλέγονται από το precursor εργαλείο (συμπεριλαμβανομένου του SQL και του Veeam), κρυπτογραφεί αρχεία και προσαρτά την επέκταση .yanluowang.
Σε κρυπτογραφημένα συστήματα, το Yanluowang κάνει «drop» ένα ransom note με το όνομα README.txt που προειδοποιεί τα θύματά του να μην επικοινωνούν με τις αρχές επιβολής του νόμου ή να ζητούν βοήθεια από εταιρείες διαπραγματεύσεων ransomware.
Απειλές για επιθέσεις DDoS
«Εάν παραβιαστούν οι κανόνες των επιτιθέμενων, οι χειριστές των ransomware λένε ότι θα πραγματοποιήσουν επιθέσεις denial of service (DDoS) εναντίον του θύματος», πρόσθεσαν οι ερευνητές της Broadcom.
«Οι εγκληματίες απειλούν επίσης ότι θα επαναλάβουν την επίθεση» σε λίγες εβδομάδες «και θα διαγράψουν τα δεδομένα του θύματος», μια συνηθισμένη τακτική που χρησιμοποιούν οι περισσότερες συμμορίες ransomware για να πιέσουν τα θύματά τους να πληρώσουν τα λύτρα.
Δείτε επίσης: Η Pacific City Bank δέχτηκε επίθεση από το AvosLocker ransomware
Παρόλο που βρίσκεται υπό ανάπτυξη, το Yanluowang εξακολουθεί να είναι επικίνδυνο malware δεδομένου ότι το ransomware είναι μία από τις μεγαλύτερες απειλές που αντιμετωπίζουν οι οργανισμοί παγκοσμίως.
Το Συμβούλιο Εθνικής Ασφάλειας του Λευκού Οίκου αυτή την εβδομάδα πραγματοποιεί μια σειρά συναντήσεων μεταξύ ανώτερων αξιωματούχων από περισσότερες από 30 χώρες σε μια virtual παγκόσμια εκδήλωση για την καταπολέμηση των επιθέσεων ransomware.
Πηγή πληροφοριών: bleepingcomputer.com