Yanluowang Ransomware
Infosec-Forscher haben eine neue, sehr gezielte Angriffsoperation entdeckt, bei der eine noch nie dagewesene Ransomware-Bedrohung eingesetzt wird. Das Ziel der bedrohlichen Operation wurde nicht bekannt gegeben, es wird jedoch als prominente große Organisation beschrieben. Die Bedrohung heißt Yanluowang Ransomware nach der Erweiterung, mit der sie die verschlüsselten Dateien markiert. Sie verfügt über eine erweiterte Liste an Funktionalitäten, aber nach den Erkenntnissen der Cybersicherheitsexperten befindet sich die Yanluowang Ransomware noch in der Entwicklungsphase und könnte in Zukunft noch bedrohlicher werden.
Inhaltsverzeichnis
Die Umgebung vorbereiten
Bevor die Ransomware an die kompromittierten Systeme geliefert wird, nutzen die Angreifer das legitime Befehlszeilen-Abfragetool von Active Directory namens AdFind. Dieses spezielle Tool wird von Cyberkriminellen oft missbraucht, um sich in gehackten Netzwerken seitlich zu bewegen.
Der nächste Schritt des Yanluowang-Angriffs besteht darin, die Umgebung des kompromittierten Computers vorzubereiten. Die Hacker setzen ein spezialisiertes Tool ein, das drei Hauptaufgaben erfüllt. Zunächst erstellt es eine Textdatei, die die Anzahl der entfernten Maschinen enthält, die über die Befehlszeile überprüft werden sollen. Dann verwendet es die legitime Window Management Instrumentation (WMI), um eine Liste aller Prozesse zu erhalten, die auf den in der Textdatei aufgeführten Systemen ausgeführt werden. Schließlich speichert es alle Prozesse zusammen mit dem Namen der entfernten Maschinen in einer Datei 'processes.txt'.
Die Funktionalität von Yanluowang Ransomware
Die Ransomware-Bedrohung besitzt alle typischen schädlichen Funktionen, die von einer solchen Bedrohung erwartet werden. Es initiiert einen Verschlüsselungsprozess, der die Dateien auf dem infizierten System mit einem starken Algorithmus sperrt. An jede gesperrte Datei wird '.yanluowang' an ihren ursprünglichen Namen angehängt. Bevor jedoch mit der Verschlüsselung begonnen wird, führt die Bedrohung zwei vorbereitende Aktionen durch. Die Ransomware-Bedrohung beendet alle virtuellen Hypervisor-Maschinen, wenn diese auf dem infizierten Computer ausgeführt werden. Anschließend schaut es sich die Datei „processes.txt“ an und beendet alle dort aufgeführten Prozesse, einschließlich SQL und der Backup- und Datensicherungslösung Veeam. Der letzte Schritt der Bedrohung besteht darin, ein Lösegeld mit Anweisungen für das Opfer zu liefern.
Details der Lösegeldforderung
Die Notiz zeigt, dass die Hacker nicht damit zufrieden sind, die Datei des Opfers einfach zu sperren und Geld für ihre mögliche Wiederherstellung zu erpressen. Wenn ihre Forderungen nicht erfüllt werden, erklären die Cyberkriminellen, dass sie bereit sind, DDoS-Angriffe (Distributed Denial of Service) gegen das Opfer zu starten, Mitarbeiter und Geschäftspartner des Unternehmens anzurufen und schließlich in einigen Wochen einen weiteren Angriff durchzuführen wobei sie alle Daten des Opfers löschen werden. Darüber hinaus behauptet die Yanluowang-Ransomware-Notiz, dass bereits riesige Mengen privater Daten gesammelt wurden.
