Yanluowangランサムウェア
これまでにないランサムウェアの脅威を展開する、高度に標的を絞った新しい攻撃操作が、infosecの研究者によって発見されました。脅迫作戦の標的は明らかにされていないが、著名な大規模組織として説明されている。この脅威は、暗号化するファイルをマークするために使用する拡張子にちなんで、YanluowangRansomwareと名付けられています。機能の拡張リストを備えていますが、サイバーセキュリティの専門家の調査結果によると、Yanluowangランサムウェアはまだ開発段階にあり、将来さらに脅威になる可能性があります。
目次
環境の準備
ランサムウェアが侵入先のシステムに配信される前に、攻撃者はAdFindという名前の正規のコマンドラインActiveDirectoryクエリツールを悪用します。この特定のツールは、侵害されたネットワーク内を横方向に移動する方法として、サイバー犯罪者によって悪用されることがよくあります。
Yanluowang攻撃の次のステップは、侵入先のコンピューターの環境を準備することです。ハッカーは、3つの主要なタスクを実行する専用のツールを展開します。まず、コマンドラインで確認するリモートマシンの数を含むテキストファイルを作成します。次に、正規のWindow Management Instrumentation(WMI)を使用して、テキストファイルにリストされているシステムで実行されているすべてのプロセスのリストを取得します。最後に、すべてのプロセスをリモートマシンの名前と一緒に「processes.txt」ファイルに保存します。
Yanluowangランサムウェアの機能
ランサムウェアの脅威は、このタイプの脅威から予想されるすべての典型的な有害な機能を備えています。強力なアルゴリズムを使用して、感染したシステム上のファイルをロックする暗号化プロセスを開始します。ロックされた各ファイルには、元の名前に「.yanluowang」が追加されます。ただし、暗号化を開始する前に、脅威は2つの準備アクションを実行します。ランサムウェアの脅威は、感染したコンピューターで実行されているハイパーバイザー仮想マシンをすべて終了させます。次に、「processes.txt」ファイルを調べて、SQL、バックアップおよびデータ保護ソリューションVeeamを含む、そこにリストされているすべてのプロセスを終了します。脅威によって実行される最後のステップは、犠牲者への指示とともに身代金を提供することです。
身代金メモの詳細
このメモは、ハッカーが被害者のファイルを単にロックし、潜在的な回復のために金銭を強要することに満足していないことを明らかにしています。彼らの要求が満たされない場合、サイバー犯罪者は被害者に対してDDoS(Distributed Denial of Service)攻撃を開始する準備ができていると述べ、エンティティの従業員とビジネスパートナーに電話をかけ始め、最後に数週間以内に別の攻撃を行います被害者のすべてのデータを削除します。さらに、Yanluowang Ransomwareのメモには、膨大な量の個人データがすでに収集されていると記載されています。
