導讀
近日,資訊保安領域的賽門鐵克公司在調查一個未命名的“大型組織”的攻擊時發現了一種新的且仍在開發的勒索軟體,以yanluowang作為加密副檔名,正在大肆攻擊知名企業。基於它的擴充套件在受威脅的系統上增加了加密檔案。
調查顯示,它是最近在調查一起涉及高調組織的事件時發現的,該事件是在檢測到涉及合法AdFind命令列ActiveDirectory查詢工具的可疑活動後發現的。
警告受害人不要求助
在研究人員發現可疑的AdFind使用數天之內,攻擊者還試圖在被攻破的組織的系統中部署他們的Yanlowang Ransomware有效載荷。在部署到受威脅的裝置上之前,Ransomware操作員會啟動一個惡意工具,用於執行以下操作:
▪ 建立一個。txt檔案,其中包含要簽入命令列的遠端計算機數量
▪ 使用Windows管理工具(WMI)獲取在。txt檔案中列出的遠端計算機上執行 的程序列表
▪ 將所有程序和遠端機器名稱記錄到processes。txt
賽門鐵克說,它還記錄所有程序和遠端機器名稱。然後在部署之後,Yanlowang將停止虛擬機器管理程式,結束前體工具(包括SQL和Veeam)獲取的所有程序,加密檔案並追加。yanlowang副檔名。在加密系統中,Yanlowang還丟擲了一張名為README。txt的贖金通知,警告受害者不要向執法部門伸出援手,也不要向任何勒索軟體談判公司求助。
DDoS攻擊的威脅
賽門鐵克研究人員補充說:“如果攻擊者的規則遭到破壞,他們將對受害者進行分散式拒絕服務 (DDoS) 攻擊,並向員工和業務合作伙伴打電話。犯罪分子還威脅要在“幾周內”重複攻擊並刪除受害者的資料,這是大多數贖金團伙用來迫使受害者支付贖金的常見手段。”
“雖然yanluowang勒索軟體似乎仍在開發中,但絕對不能低估。贖金軟體是世界範圍內各組織面臨的最大威脅之一,yanluowang仍然是危險的惡意軟體。
根據NCC Group 的最新資料,勒索軟體攻擊的數量在 2021 年第一季度和第二季度之間激增了 288% 。