*Novo ransomware Yanluowang usado em ataques corporativos direcionados
Uma cepa de ransomware nova e ainda em desenvolvimento está sendo usada em ataques altamente direcionados contra entidades corporativas, como descobriu a equipe Symantec Threat Hunter da Broadcom.
O malware, apelidado de ransomware Yanluowang (em homenagem a uma divindade chinesa Yanluo Wang , um dos dez reis do inferno), com base na extensão que adiciona aos arquivos criptografados em sistemas comprometidos.
Recentemente, foi detectado durante a investigação de um incidente envolvendo uma organização de alto perfil após a detecção de atividades suspeitas envolvendo a ferramenta de consulta do Active Directory de linha de comando AdFind legÃtima.
O AdFind é comumente usado por operadores de ransomware para tarefas de reconhecimento, incluindo obter acesso à s informações necessárias para o movimento lateral através das redes de suas vÃtimas.
VÃtimas alertadas para não pedir ajuda
Poucos dias depois de os pesquisadores terem detectado o uso suspeito de AdFind, os invasores também tentaram implantar suas cargas úteis de ransomware Yanluowang nos sistemas da organização violada.
Antes de ser implantado em dispositivos comprometidos, os operadores de ransomware lançam uma ferramenta maliciosa projetada para realizar as seguintes ações:
- Cria um arquivo .txt com o número de máquinas remotas para verificar na linha de comando
- Usa o Windows Management Instrumentation (WMI) para obter uma lista de processos em execução nas máquinas remotas listadas no arquivo .txt
- Registra todos os processos e nomes de máquinas remotas em process.txt
Uma vez implantado, o Yanluowang irá parar as máquinas virtuais do hipervisor, encerrar todos os processos coletados pela ferramenta precursora (incluindo SQL e Veeam), criptografar arquivos e anexar a extensão .yanluowang.
Em sistemas criptografados, Yanluowang também deixa cair uma nota de resgate chamada README.txt que avisa suas vÃtimas para não entrarem em contato com a polÃcia ou pedir ajuda a firmas de negociação de ransomware.
Ameaças de ataques DDoS
“Se as regras dos atacantes forem quebradas, os operadores de ransomware dizem que vão realizar ataques distribuÃdos de negação de serviço (DDoS) contra a vÃtima, bem como fazer 'ligações para funcionários e parceiros de negócios'”, acrescentaram os pesquisadores da Broadcom.
"Os criminosos também ameaçam repetir o ataque" em algumas semanas "e excluir os dados da vÃtima", uma tática comum usada pela maioria das gangues de ransomware para pressionar suas vÃtimas a pagar o resgate.
Os indicadores de comprometimento, incluindo hashes de malware, podem ser encontrados no final do relatório da equipe do Symantec Threat Hunter .
Mesmo em desenvolvimento, o Yanluowang ainda é um malware perigoso, visto que o ransomware é uma das maiores ameaças que as organizações enfrentam em todo o mundo.
O Conselho de Segurança Nacional da Casa Branca facilita esta semana uma série de reuniões entre altos funcionários de mais de 30 paÃses em um evento virtual internacional de contra-ransomware para se juntar aos esforços dos EUA para reprimir os grupos do cibercrime de ransomware.
Após os ataques de ransomware a Colonial Pipeline e JBS neste verão, a vice-assessora de segurança nacional Anne Neuberger também disse às empresas americanas que levassem o ransomware a sério.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário