Yanluowang Ransomware
Los investigadores de infosec descubrieron una nueva operación de ataque altamente dirigida que implementa una amenaza de ransomware nunca antes vista. El objetivo de la operación amenazante no se ha revelado, pero se describe como una gran organización prominente. La amenaza se llama Yanluowang Ransomware por la extensión que usa para marcar los archivos que cifra. Posee una lista ampliada de funcionalidades, pero según los hallazgos de los expertos en ciberseguridad, Yanluowang Ransomware aún se encuentra en su etapa de desarrollo y podría volverse aún más amenazador en el futuro.
Tabla de contenido
Preparando el medio ambiente
Antes de que el ransomware se entregue a los sistemas comprometidos, los atacantes explotan la legítima herramienta de consulta de Active Directory de línea de comandos llamada AdFind. Los ciberdelincuentes suelen abusar de esta herramienta en particular como una forma de moverse lateralmente dentro de las redes violadas.
El siguiente paso del ataque Yanluowang es preparar el entorno de la computadora comprometida. Los piratas informáticos implementan una herramienta especializada que realiza tres tareas principales. Primero, crea un archivo de texto que contiene la cantidad de máquinas remotas que se deben verificar a través de la línea de comando. Luego, utiliza el Instrumental de administración de ventanas (WMI) legítimo para obtener una lista de todos los procesos que se ejecutan en los sistemas enumerados en el archivo de texto. Finalmente, almacena todos los procesos junto con el nombre de las máquinas remotas en un archivo 'process.txt'.
Funcionalidad de Yanluowang Ransomware
La amenaza de ransomware posee todas las funciones dañinas típicas que se esperan de una amenaza de este tipo. Inicia un proceso de cifrado que bloquea los archivos en el sistema infectado con un algoritmo sólido. Cada archivo bloqueado tendrá '.yanluowang' agregado a su nombre original. Sin embargo, antes de iniciar su cifrado, la amenaza realiza dos acciones preparatorias. La amenaza de ransomware termina con todas las máquinas virtuales de hipervisor si se están ejecutando en la computadora infectada. A continuación, examina el archivo 'process.txt' y finaliza todos los procesos enumerados allí, incluido SQL y la solución de respaldo y protección de datos Veeam. El último paso realizado por la amenaza es entregar un rescate con instrucciones para su víctima.
Detalles de la nota de rescate
La nota revela que los piratas informáticos no están satisfechos con simplemente bloquear el archivo de la víctima y extorsionar dinero para su posible restauración. Si sus demandas no se cumplen, los ciberdelincuentes declaran que están listos para lanzar ataques DDoS (Distributed Denial of Service) contra la víctima, comenzarán a llamar a los empleados y socios comerciales de la entidad y, finalmente, realizarán otro ataque en un par de semanas. para eliminar todos los datos de la víctima. Además, la nota de Yanluowang Ransomware afirma que ya se han recopilado grandes cantidades de datos privados.
