Uma nova variedade de ransomware, ainda em desenvolvimento, está sendo usada em ataques altamente direcionados contra entidades corporativas, como descobriu a equipe Symantec Threat Hunter da Broadcom.
O malware, apelidado de Yanluowang ransomware (em homenagem a uma divindade chinesa Yanluo Wang , um dos dez reis do inferno), com base na extensão que adiciona aos arquivos criptografados em sistemas comprometidos.
Recentemente, foi detectado durante a investigação de um incidente envolvendo uma organização de alto perfil após a detecção de atividades suspeitas envolvendo a ferramenta de consulta do Active Directory de linha de comando AdFind legítima.
O AdFind é comumente usado por operadores de ransomware para tarefas de reconhecimento, incluindo obter acesso às informações necessárias para o movimento lateral através das redes de suas vítimas.
Vítimas alertadas para não pedir ajuda
Poucos dias depois de os pesquisadores terem detectado o uso suspeito de AdFind, os invasores também tentaram implantar suas cargas úteis de ransomware Yanluowang nos sistemas da organização violada.
Antes de ser implantado em dispositivos comprometidos, os operadores de ransomware lançam uma ferramenta maliciosa projetada para realizar as seguintes ações:
- Cria um arquivo .txt com o número de máquinas remotas para verificar na linha de comando
- Usa o Windows Management Instrumentation (WMI) para obter uma lista de processos em execução nas máquinas remotas listadas no arquivo .txt
- Registra todos os processos e nomes de máquinas remotas em process.txt
Uma vez implantado, o Yanluowang irá parar as máquinas virtuais do hipervisor, encerrar todos os processos coletados pela ferramenta precursora (incluindo SQL e Veeam), criptografar arquivos e anexar a extensão .yanluowang.
Em sistemas criptografados, Yanluowang também deixa cair uma nota de resgate chamada README.txt que avisa suas vítimas para não entrarem em contato com as forças de segurança ou pedir ajuda a firmas de negociação de ransomware.
Ameaças de ataques DDoS
“Se as regras dos atacantes forem quebradas, os operadores de ransomware dizem que vão realizar ataques distribuídos de negação de serviço (DDoS) contra a vítima, bem como fazer ‘ligações para funcionários e parceiros de negócios’”, acrescentaram os pesquisadores da Broadcom.
“Os criminosos também ameaçam repetir o ataque” em algumas semanas “e excluir os dados da vítima”, uma tática comum usada pela maioria das gangues de ransomware para pressionar suas vítimas a pagar o resgate.
Os indicadores de comprometimento, incluindo hashes de malware, podem ser encontrados no final do relatório da equipe do Symantec Threat Hunter .
Mesmo em desenvolvimento, o Yanluowang ainda é um malware perigoso, visto que o ransomware é uma das maiores ameaças que as organizações enfrentam em todo o mundo.
O Conselho de Segurança Nacional da Casa Branca facilita esta semana uma série de reuniões entre altos funcionários de mais de 30 países em um evento virtual internacional de contra-ransomware para se juntar aos esforços dos EUA para reprimir os grupos do cibercrime de ransomware.
Após os ataques de ransomware a Colonial Pipeline e JBS neste verão, a vice-assessora de segurança nacional Anne Neuberger também disse às empresas americanas que levassem o ransomware a sério.
Contato
Proteja já suas informações com o GBackup.
Conheça mais sobre nossa solução e receba um orçamento de acordo com sua necessidade.
Utilize os campos abaixo para entrar em contato com nossa equipe.
