Новый вымогатель Yanluowang, используемый в целевых корпоративных атаках

21
Популярная библиотека NPM взломана для установки хищников паролей и майнеров

Как выяснила группа Symantec Threat Hunter Team Broadcom, новый и все еще разрабатываемый штамм программ-вымогателей используется в узконаправленных атаках на корпоративные объекты.

Вредоносная программа, получившая название Yanluowang ransomware (в честь китайского божества Янлуо Ванга, одного из десяти королей ада), основана на расширении, которое она добавляет к зашифрованным файлам в скомпрометированных системах.

Он был недавно обнаружен при расследовании инцидента с участием известной организации после обнаружения подозрительной активности с использованием законного инструмента запросов Active Directory из командной строки AdFind.

AdFind обычно используется операторами программ-вымогателей для разведывательных задач, включая получение доступа к информации, необходимой для горизонтального перемещения через сети своих жертв.

Жертв предупредили, чтобы они не просили о помощи

Через несколько дней после того, как исследователи заметили подозрительное использование AdFind, злоумышленники также попытались развернуть полезные нагрузки программы-вымогателя Yanluowang в системах взломанной организации.

Перед развертыванием на скомпрометированных устройствах операторы вымогателей запускают вредоносный инструмент, предназначенный для выполнения следующих действий:

  • Создает файл .txt с количеством удаленных машин для проверки в командной строке.
  • Использует инструментарий управления Windows (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в файле .txt.
  • Записывает все процессы и имена удаленных машин в файл process.txt.

После развертывания Yanluowang остановит виртуальные машины гипервизора, завершит все процессы, собранные инструментом-предшественником (включая SQL и Veeam), зашифрует файлы и добавит расширение .yanluowang.

В зашифрованных системах Yanluowang также отправляет записку о выкупе под названием README.txt, в которой жертвам рекомендуется не обращаться в правоохранительные органы и не просить помощи у фирм, занимающихся переговорами о программах-вымогателях.

Угрозы DDoS-атак

«Если правила злоумышленников нарушаются, операторы программ-вымогателей заявляют, что они проведут распределенные атаки типа« отказ в обслуживании »(DDoS) против жертвы, а также будут« звонить сотрудникам и деловым партнерам », — добавили исследователи Broadcom.

«Преступники также угрожают повторить атаку« через несколько недель »и удалить данные жертвы» — обычная тактика, используемая большинством банд вымогателей, чтобы заставить своих жертв заплатить выкуп.

Индикаторы взлома, включая хэши вредоносных программ, можно найти в конце отчета Symantec Threat Hunter Team .

Несмотря на то, что Yanluowang находится в стадии разработки, он все еще является опасным вредоносным ПО, учитывая, что программы-вымогатели являются одной из самых больших угроз, с которыми организации сталкиваются во всем мире.

Совет национальной безопасности Белого дома организует на этой неделе серию встреч между высокопоставленными должностными лицами из более чем 30 стран в рамках виртуального международного мероприятия по борьбе с программами-вымогателями, чтобы присоединиться к усилиям США по борьбе с группами киберпреступников-вымогателей.

После атак программ-вымогателей на Colonial Pipeline и JBS этим летом заместитель советника по национальной безопасности Энн Нойбергер также призвала американские компании серьезно относиться к программам-вымогателям .

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here