Nuevo ransomware Yanluowang utilizado en ataques corporativos dirigidos

Una nueva cepa de ransomware aún en desarrollo se está utilizando en ataques altamente dirigidos contra entidades corporativas, como lo descubrió el Symantec Threat Hunter Team de Broadcom.

El malware, denominado ransomware Yanluowang (que lleva el nombre de una deidad china Yanluo Wang, uno de los diez reyes del infierno), se basa en la extensión que agrega a los archivos cifrados en los sistemas comprometidos.

Recientemente se detectó mientras se investigaba un incidente que involucraba a una organización de alto perfil después de detectar una actividad sospechosa que involucraba la legítima herramienta de consulta de Active Directory de línea de comandos AdFind.

Los operadores de ransomware suelen utilizar AdFind para actividades de reconocimiento, incluido el acceso a la información necesaria para el movimiento lateral a través de las redes de las víctimas.

Se advirtió a las víctimas que no pidieran ayuda

Unos días después de que los investigadores detectaran el uso sospechoso de AdFind, los atacantes también intentaron distribuir sus cargas útiles de ransomware Yanluowang a través de los sistemas de la organización pirateada.

Antes de ser implementado en dispositivos comprometidos, los operadores de ransomware lanzan una herramienta maliciosa diseñada para realizar las siguientes acciones:

  • Cree un archivo .txt con la cantidad de máquinas remotas para verificar en la línea de comando
  • Utilice Windows Management Instrumentation (WMI) para obtener una lista de los procesos que se ejecutan en equipos remotos enumerados en el archivo .txt
  • Registre todos los procesos y nombres de equipos remotos en process.txt

Una vez implementado, Yanluowang detendrá las máquinas virtuales del hipervisor, detendrá todos los procesos recopilados por la herramienta precursora (incluidos SQL y Veeam), cifrará los archivos y agregará la extensión .yanluowang.

En los sistemas cifrados, Yanluowang también emite una nota de rescate llamada README.txt que advierte a sus víctimas que no se pongan en contacto con las fuerzas del orden ni busquen ayuda de las empresas comerciales de ransomware.

Nota de rescate de Yanluowang
Nota de rescate de Yanluowang (equipo de Broadcom Symantec Threat Hunter)

Amenazas de ataques DDoS

"Si se rompen las reglas del atacante, los operadores de ransomware afirman que llevarán a cabo ataques de denegación de servicio distribuido (DDoS) contra la víctima, además de hacer 'llamadas a empleados y socios comerciales'", agregaron los investigadores de Broadcom.

"Los delincuentes también amenazan con repetir el ataque" en unas pocas semanas "y eliminar los datos de la víctima", una táctica común utilizada por la mayoría de las bandas de ransomware para que las víctimas paguen el rescate.

Los indicadores de compromiso, incluidos los hash de malware, están disponibles al final del informe del equipo de Symantec Threat Hunter.

Aunque está en desarrollo, Yanluowang sigue siendo un malware peligroso, ya que el ransomware es una de las mayores amenazas a las que se enfrentan las organizaciones en todo el mundo.

El Consejo de Seguridad Nacional de la Casa Blanca facilita una serie de reuniones entre altos funcionarios de más de 30 países en un evento internacional de ransomware virtual esta semana para unirse a los esfuerzos de Estados Unidos para tomar medidas enérgicas contra los grupos de delitos informáticos de ransomware.

Después de los ataques de ransomware contra Colonial Pipeline y JBS este verano, la asesora adjunta de seguridad nacional Anne Neuberger también les dijo a las empresas estadounidenses que se tomaran en serio el ransomware.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir