Loader

Новая программа-вымогатель Yanluowang используется в целевых атаках

Появление новых целевых программ-вымогателей, похоже, все еще находится в стадии разработки

Команда Symantec Threat Hunter Team, входящая в состав Broadcom Software, обнаружила новую ransomware-угрозу под названием Yanluowang, которая используется в целевых атаках.
В ходе недавней попытки атаки с использованием вымогательского ПО на крупную организацию компания Symantec получила ряд вредоносных файлов, которые при дальнейшем расследовании показали, что угроза представляет собой новое, хотя и недостаточно развитое семейство вымогательских программ.

Команда Threat Hunter впервые заметила подозрительное использование AdFind, законного инструмента запроса командной строки Active Directory, в сети организации-жертвы. Этот инструмент часто используется злоумышленниками в качестве средства разведки, а также для обеспечения злоумышленников ресурсами, необходимыми для латерального перемещения через Active Directory.
Всего через несколько дней после того, как подозрительная активность AdFind была замечена на организации-жертве, злоумышленники попытались развернуть программу Yanluowang ransomware.
Прежде чем программа-вымогатель будет развернута на скомпрометированном компьютере, инструмент-предвестник выполняет следующие действия:

    • Создает файл .txt с количеством удаленных машин для проверки в командной строке.
    • Использует инструменты управления Windows Management Instrumentation (WMI) для получения списка процессов, запущенных на удаленных машинах, перечисленных в .txt-файле.
    • Записывает все процессы и имена удаленных машин в файл processes.txt

Затем развертывается программа Yanluowang ransomware и выполняет следующие действия:

    • Останавливает все виртуальные машины гипервизора, запущенные на зараженном компьютере.
    • Завершает процессы, перечисленные в файле processes.txt, включая SQL и решение для резервного копирования Veeam.
    • Шифрует файлы на зараженном компьютере и добавляет к каждому файлу расширение .yanluowang
    • Сбрасывает на зараженный компьютер записку с выкупом под названием README.txt.

В записке с требованием выкупа, брошенной Yanluowang, жертв предупреждают, чтобы они не обращались в правоохранительные органы или фирмы, ведущие переговоры о выкупе. Если правила злоумышленников будут нарушены, операторы ransomware заявляют, что проведут распределенные атаки типа «отказ в обслуживании» (DDoS) против жертвы, а также сделают «звонки сотрудникам и деловым партнерам». Преступники также угрожают повторить атаку «через несколько недель» и удалить данные жертвы.

Защита

Основан на файлах:

    • Yanluowang

Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.

Индикаторы компрометации

    • d11793433065633b84567de403c1989640a07c9a399dd2753aaf118891ce791c
    • 49d828087ca77abc8d3ac2e4719719ca48578b265bbb632a1a7a36560ec47f2d
    • 2c2513e17a23676495f793584d7165900130ed4e8cccf72d9d20078e27770e04

 

Компания Oberig IT — официальный дистрибьютор Symantec на территории Украины, Молдовы и Казахстана. Мы являемся источником компетенции по полному циклу изучения функционала и преимуществ решений Symantec.

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решения Symantec и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина info.ua@oberig-it.com, +38 093 801 04 41.
Молдова —  info.md@oberig-it.com, +373 686 76535.
Казахстан — info.kz@oberig-it.com, +7 775 395 0803.

 

Источник:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/yanluowang-targeted-ransomware