Поява нових цільових програм-вимагачів, схоже, все ще перебуває на стадії розробки
Команда Symantec Threat Hunter Team, що входить до складу Broadcom Software, виявила нову ransomware-загрозу під назвою Yanluowang, яка використовується в цільових атаках. У ході недавньої спроби атаки з використанням здирницького ПЗ на велику організацію компанія Symantec отримала ряд шкідливих файлів, які при подальшому розслідуванні показали, що загроза є новою, хоча і недостатньо розвиненою родиною програм-вимагачів.
Команда Threat Hunter вперше помітила підозріле використання AdFind, законного інструменту запиту командного рядка Active Directory у мережі організації-жертви. Цей інструмент часто використовується зловмисниками як засіб розвідки, а також для забезпечення зловмисників ресурсами, необхідними для латерального переміщення через Active Directory. Лише через кілька днів після того, як підозріла активність AdFind була помічена на організації-жертві, зловмисники спробували розгорнути програму Yanluowang ransomware. Перш ніж програма-вимагач буде розгорнута на скомпрометованому комп’ютері, інструмент-провісник виконує такі дії:
-
- Створює файл .txt з кількістю віддалених машин для перевірки командного рядка.
- Використовує інструменти керування Windows Management Instrumentation (WMI) для отримання списку процесів, запущених на віддалених машинах, перерахованих у файлі .txt.
- Записує всі процеси та імена віддалених машин у файл processes.txt
Потім розгортається програма Yanluowang ransomware і виконує такі дії:
-
- Зупиняє всі віртуальні машини гіпервізора, запущені на зараженому комп’ютері.
- Завершує процеси, перелічені у файлі processes.txt, включаючи SQL та рішення для резервного копіювання Veeam.
- Шифрує файли на зараженому комп’ютері та додає до кожного файлу розширення .yanluowang
- Скидає на заражений комп’ютер записку з викупом під назвою README.txt.
У записці з вимогою викупу, наданою Yanluowang, жертв попереджають, щоб вони не зверталися до правоохоронних органів чи фірм, які ведуть переговори про викуп. Якщо правила зловмисників будуть порушені, оператори ransomware заявляють, що проведуть розподілені атаки на кшталт “відмова в обслуговуванні” (DDoS) проти жертви, а також зроблять “дзвінки співробітникам та діловим партнерам”. Злочинці також погрожують повторити атаку “через кілька тижнів” та видалити дані жертви.
Захист
Заснований на файлах:
-
- Ransom.Yanluowang
Останні оновлення захисту можна знайти у бюлетені Symantec Protection Bulletin.
Індикатори компрометації
-
- d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c
- 49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d
- 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04
Компанія Oberig IT – офіційний дистриб’ютор Symantec на території України, Молдови та Казахстану. Ми є джерелом компетенції щодо повного циклу вивчення функціоналу та переваг рішень Symantec.
Джерело:
