Yanluowang Ransomware
Une nouvelle opération d'attaque hautement ciblée déployant une menace de ransomware inédite a été découverte par les chercheurs d'infosec. La cible de l'opération menaçante n'a pas été divulguée, mais elle est décrite comme une grande organisation de premier plan. La menace est nommée Yanluowang Ransomware d'après l'extension qu'elle utilise pour marquer les fichiers qu'elle crypte. Il possède une liste étendue de fonctionnalités mais selon les conclusions des experts en cybersécurité, le Yanluowang Ransomware est encore en phase de développement et pourrait devenir encore plus menaçant à l'avenir.
Table des matières
Préparation de l’environnement
Avant que le ransomware ne soit livré aux systèmes compromis, les attaquants exploitent l'outil de requête Active Directory en ligne de commande légitime nommé AdFind. Cet outil particulier est souvent utilisé à mauvais escient par les cybercriminels comme moyen de se déplacer latéralement au sein des réseaux violés.
La prochaine étape de l'attaque Yanluowang consiste à préparer l'environnement de l'ordinateur compromis. Les pirates déploient un outil spécialisé qui effectue trois tâches principales. Tout d'abord, il crée un fichier texte contenant le nombre de machines distantes qui doivent être vérifiées via la ligne de commande. Ensuite, il utilise l'instrumentation de gestion de fenêtre (WMI) légitime pour obtenir une liste de tous les processus en cours d'exécution sur les systèmes répertoriés dans le fichier texte. Enfin, il stocke tous les processus avec le nom des machines distantes dans un fichier 'processes.txt'.
Fonctionnalité de Yanluowang Ransomware
La menace de ransomware possède toutes les fonctions nuisibles typiques attendues d'une menace de ce type. Il lance un processus de cryptage qui verrouille les fichiers sur le système infecté avec un algorithme puissant. Chaque fichier verrouillé aura '.yanluowang' ajouté à son nom d'origine. Cependant, avant de commencer son chiffrement, la menace effectue deux actions préparatoires. La menace de ransomware met fin à toutes les machines virtuelles de l'hyperviseur si elles s'exécutent sur l'ordinateur infecté. Il examine ensuite le fichier « processes.txt » et met fin à tous les processus qui y sont répertoriés, y compris SQL et la solution de sauvegarde et de protection des données Veeam. La dernière étape effectuée par la menace consiste à remettre une rançon avec des instructions pour sa victime.
Détails de la note de rançon
La note révèle que les pirates ne se contentent pas de verrouiller simplement le fichier de la victime et d'extorquer de l'argent pour leur éventuelle restauration. Si leurs demandes ne sont pas satisfaites, les cybercriminels déclarent qu'ils sont prêts à lancer des attaques DDoS (Déni de service distribué) contre la victime, commenceront à appeler les employés et les partenaires commerciaux de l'entité, et enfin, mèneront une autre attaque dans quelques semaines. pour supprimer toutes les données de la victime. En outre, la note Yanluowang Ransomware affirme que de grandes quantités de données privées ont déjà été collectées.
