I ricercatori di Symantec Threat Hunter hanno scoperto una nuova famiglia di ransomware chiamata Yanluowang che viene utilizzata in attacchi altamente mirati contro le organizzazioni.
Il team di Threat Hunter ha individuato per la prima volta un uso sospetto di AdFind, uno strumento di query di Active Directory da riga di comando legittimo, sulla rete di una grande organizzazione di recente presa di mira dal tentativo di tale attacco.
“Questo strumento viene spesso abusato dagli aggressori ransomware come strumento di ricognizione, nonché per dotare gli aggressori delle risorse di cui hanno bisogno per il movimento laterale tramite Active Directory. Pochi giorni dopo che l’attività sospetta di AdFind è stata osservata sull’organizzazione vittima, gli aggressori hanno tentato di distribuire il ransomware Yanluowang”, si legge nell’analisi.
Prima che il ransomware venga distribuito su un computer compromesso, uno strumento precursore esegue le seguenti azioni:
- Crea un file .txt con il numero di macchine remote da controllare nella riga di comando
- Utilizza Strumentazione gestione Windows (WMI) per ottenere un elenco di processi in esecuzione sui computer remoti elencati nel file .txt
- Registra tutti i processi e i nomi dei computer remoti in process.txt
Il ransomware Yanluowang viene quindi distribuito ed esegue le seguenti azioni:
- Arresta tutte le macchine virtuali hypervisor in esecuzione sul computer compromesso
- Termina i processi elencati in process.txt, che include SQL e la soluzione di backup Veeam
- Crittografa i file sul computer compromesso e aggiunge ogni file con l’estensione.yanluowang
- Rilascia una richiesta di riscatto denominata README.txt sul computer compromesso.
La richiesta di riscatto rilasciata da Yanluowang avvisa le vittime di non contattare le forze dell’ordine o le società di negoziazione di ransomware e che, laddove queste regole vengono violate, gli operatori del ransomware condurranno attacchi DDoS (Distributed Denial of Service) contro la vittima, oltre a effettuare “chiamate a dipendenti e partner commerciali”. Infine, nella richiesta i criminali minacciano di ripetere l’attacco “tra poche settimane” e di cancellare i dati della vittima.
