Nuevo ransomware Yanluowang

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una nueva variedad de ransomware, que aún está en desarrollo, se está utilizando en ataques altamente dirigidos contra entidades empresariales, como descubrió el equipo de Symantec Threat Hunter de Broadcom.

El malware, denominado ransomware Yanluowang (en honor a una deidad china Yanluo Wang, uno de los diez reyes del infierno) se basa en la extensión que agrega a los archivos cifrados en los sistemas comprometidos.

Recientemente se detectó mientras se investigaba un incidente que involucraba a una organización de alto perfil después de detectar una actividad sospechosa que involucraba la herramienta legítima de consulta de Active Directory de línea de comandos AdFind.

Los operadores de ransomware suelen utilizar AdFind para tareas de reconocimiento, incluido el acceso a la información necesaria para el movimiento lateral a través de las redes de sus víctimas.

Se advirtió a las víctimas que no pidieran ayuda

A los pocos días de que los investigadores detectaran el uso sospechoso de AdFind, los atacantes también intentaron implementar sus cargas útiles de ransomware Yanluowang en los sistemas de la organización vulnerada.

Antes de ser implementado en dispositivos comprometidos, los operadores de ransomware lanzan una herramienta maliciosa diseñada para llevar a cabo las siguientes acciones:

   -  Crea un archivo .txt con la cantidad de máquinas remotas para verificar en la línea de comando

   -  Utiliza Instrumental de administración de Windows (WMI) para obtener una lista de los procesos que se ejecutan en las máquinas remotas enumeradas en el archivo .txt

   -  Registra todos los procesos y nombres de máquinas remotas en process.txt

Una vez implementado, Yanluowang detendrá las máquinas virtuales del hipervisor, finalizará todos los procesos recolectados por la herramienta precursora (incluidos SQL y Veeam), encriptará archivos y agregará la extensión .yanluowang.

En los sistemas encriptados, Yanluowang también deja caer una nota de rescate llamada README.txt que advierte a sus víctimas que no se comuniquen con las fuerzas del orden o pidan ayuda a las firmas de negociación de ransomware.

Amenazas de ataques DDoS

"Si se rompen las reglas de los atacantes, los operadores de ransomware dicen que llevarán a cabo ataques distribuidos de denegación de servicio (DDoS) contra la víctima, así como que harán 'llamadas a empleados y socios comerciales'", agregaron los investigadores de Broadcom.

"Los delincuentes también amenazan con repetir el ataque" en unas pocas semanas "y eliminar los datos de la víctima", una táctica común utilizada por la mayoría de las bandas de ransomware para presionar a sus víctimas para que paguen el rescate.

Los indicadores de compromiso, incluidos los hash de malware, se pueden encontrar al final del informe del equipo de Symantec Threat Hunter:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aunque está en desarrollo, Yanluowang sigue siendo un malware peligroso dado que el ransomware es una de las mayores amenazas a las que se enfrentan las organizaciones en todo el mundo.

El Consejo de Seguridad Nacional de la Casa Blanca facilita esta semana una serie de reuniones entre altos funcionarios de más de 30 países en un evento virtual internacional contra el ransomware para unirse a los esfuerzos de Estados Unidos para acabar con los grupos de delitos informáticos de ransomware.

Después de los ataques de ransomware contra Colonial Pipeline y JBS este verano, la asesora adjunta de seguridad nacional Anne Neuberger también les dijo a las empresas estadounidenses que se tomaran en serio al ransomware.

Fuente:
Symantec Threat Hunter
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta