La nueva llegada a la escena del ransomware dirigido parece estar todavía en desarrollo.
El equipo de Symantec Threat Hunter, parte de Broadcom Software, descubrió lo que parece ser una nueva amenaza de ransomware llamada Yanluowang que se utiliza en ataques dirigidos.
En un intento reciente de ataque de ransomware contra una gran organización, Symantec obtuvo una serie de archivos maliciosos que, tras una mayor investigación, revelaron que la amenaza era una nueva familia de ransomware, a pesar de ser nueva está algo subdesarrollada.
El equipo de Threat Hunter detectó por primera vez el uso sospechoso de AdFind, una herramienta legítima de consulta de Active Directory de línea de comandos, en la red de la organización víctima. Los atacantes de ransomware suelen abusar de esta herramienta como herramienta de reconocimiento, también para equipar a los atacantes con los recursos que necesitan para el movimiento lateral a través de Active Directory. Pocos días después de que se observara la actividad sospechosa de AdFind en la organización víctima, los atacantes intentaron implementar el ransomware Yanluowang.
Antes de que el ransomware se implemente en una computadora comprometida, una herramienta precursora lleva a cabo las siguientes acciones:
- Crea un archivo .txt con la cantidad de máquinas remotas para verificar en la línea de comando
- Utiliza Instrumental de administración de Windows (WMI) para obtener una lista de los procesos que se ejecutan en las máquinas remotas enumeradas en el archivo .txt
- Registra todos los procesos y nombres de máquinas remotas en process.txt
La nota de rescate lanzada por Yanluowang advierte a las víctimas que no se comuniquen con las fuerzas del orden o con las firmas de negociación de ransomware.
Si se infringen las reglas de los atacantes, los operadores de ransomware dicen que llevarán a cabo ataques distribuidos de denegación de servicio (DDoS) contra la víctima, así mismo «llamadas a empleados y socios comerciales». Los delincuentes también amenazan con repetir el ataque «en unas pocas semanas» y eliminar los datos de la víctima.
Recomendamos ponerse en contacto con su equipo de soporte en TI para revisar sus soluciones de seguridad y estar al tanto de las brechas de seguridad que pueda presentar su red corporativa.
Fuente: Broadcom.