ПОЯВЛЕНИЕ НОВЫХ ЦЕЛЕВЫХ ПРОГРАММ-ВЫМОГАТЕЛЕЙ, ПОХОЖЕ, ВСЕ ЕЩЕ НАХОДИТСЯ В СТАДИИ РАЗРАБОТКИ
Команда Symantec Threat Hunter Team, входящая в состав Broadcom Software, обнаружила новую ransomware-угрозу под названием Yanluowang, которая используется в целевых атаках.
В ходе недавней попытки атаки с использованием вымогательского ПО на крупную организацию компания Symantec получила ряд вредоносных файлов, которые при дальнейшем расследовании показали, что угроза представляет собой новое, хотя и недостаточно развитое семейство вымогательских программ.
Команда Threat Hunter впервые заметила подозрительное использование AdFind, законного инструмента запроса командной строки Active Directory, в сети организации-жертвы. Этот инструмент часто используется злоумышленниками в качестве средства разведки, а также для обеспечения злоумышленников ресурсами, необходимыми для латерального перемещения через Active Directory.
Всего через несколько дней после того, как подозрительная активность AdFind была замечена на организации-жертве, злоумышленники попытались развернуть программу Yanluowang ransomware.
Прежде чем программа-вымогатель будет развернута на скомпрометированном компьютере, инструмент-предвестник выполняет следующие действия:
- Создает файл .txt с количеством удаленных машин для проверки в командной строке.
- Использует инструменты управления Windows Management Instrumentation (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в .txt-файле.
- Записывает все процессы и имена удаленных машин в файл processes.txt
Затем развертывается программа Yanluowang ransomware и выполняет следующие действия:
- Останавливает все виртуальные машины гипервизора, запущенные на зараженном компьютере.
- Завершает процессы, перечисленные в файле processes.txt, включая SQL и решение для резервного копирования Veeam.
- Шифрует файлы на зараженном компьютере и добавляет к каждому файлу расширение .yanluowang
- Сбрасывает на зараженный компьютер записку с выкупом под названием README.txt.
В записке с требованием выкупа, брошенной Yanluowang, жертв предупреждают, чтобы они не обращались в правоохранительные органы или фирмы, ведущие переговоры о выкупе. Если правила злоумышленников будут нарушены, операторы ransomware заявляют, что проведут распределенные атаки типа «отказ в обслуживании» (DDoS) против жертвы, а также сделают «звонки сотрудникам и деловым партнерам». Преступники также угрожают повторить атаку «через несколько недель» и удалить данные жертвы.
Защита
Основан на файлах:
- Yanluowang
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
Индикаторы компрометации
- d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c
- 49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d
- 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04
Компания Oberig IT — официальный дистрибьютор Symantec на территории Украины, Молдовы и Казахстана. Мы являемся источником компетенции по полному циклу изучения функционала и преимуществ решений Symantec.
Источник:
