Uma nova e ainda em desenvolvimento variante do ransomware está sendo usada em ataques altamente direcionados contra entidades corporativas, como a Equipe de pesquisa de Ameaças da (Broadcom) Symantec descobriu.
O malware, apelidado de ransonware yanluowang (em homenagem a uma dique chinesa Yanluo Wang, um dos dez reis do inferno) com base na extensão que adiciona a arquivos criptografados em sistemas comprometidos.
Ele foi recentemente detectado enquanto investigava um incidente envolvendo uma organização de alto perfil depois de detectar atividades suspeitas envolvendo a legítima ferramenta de consulta active Directory da linha de comando AdFind.
O AdFind é comumente usado por operadores de ransomware para tarefas de reconhecimento, incluindo obter acesso às informações necessárias para o movimento lateral através das redes de suas vítimas.
Como ele age
Poucos dias após os pesquisadores detectarem o uso suspeito do AdFind, os atacantes também tentaram implantar suas cargas de ransomware Yanluowang nos sistemas da organização violado.
Antes de serem implantados em dispositivos comprometidos, os operadores de ransomware lançam uma ferramenta maliciosa projetada para realizar as seguintes ações:
- Cria um arquivo .txt com o número de máquinas remotas para verificar na linha de comando
- Usa wmi (Windows Management Instrumentation, instrumentação de gerenciamento do Windows) para obter uma lista de processos em execução nas máquinas remotas listadas no arquivo .txt
- Registra todos os processos e nomes remotos de máquinas para processos.txt
Uma vez implantado, Yanluowang interromperá as máquinas virtuais do hipervisor, encerrará todos os processos colhidos pela ferramenta precursora (incluindo SQL e Veeam), criptografará arquivos e anexará a extensão .yanluowang.
Ataque DDoS
“Se as regras dos atacantes forem quebradas, os operadores de ransomware dizem que realizarão ataques de negação distribuída de serviço (DDoS) contra a vítima, bem como farão ‘ligações para funcionários e parceiros de negócios'”, acrescentaram os pesquisadores da Broadcom.
“Os criminosos também ameaçam repetir o ataque “em algumas semanas” e excluir os dados da vítima”, uma tática comum usada pela maioria das gangues de ransomware para pressionar suas vítimas a pagar o resgate.
Fonte: Texto traduzido parcialmente de bleepingcomputer