blank

blank

Uma nova e ainda em desenvolvimento variante do ransomware está sendo usada em ataques altamente direcionados contra entidades corporativas, como a Equipe de pesquisa de Ameaças da (Broadcom) Symantec descobriu.

O malware, apelidado de ransonware yanluowang (em homenagem a uma dique chinesa Yanluo Wang, um dos dez reis do inferno) com base na extensão que adiciona a arquivos criptografados em sistemas comprometidos.

Ele foi recentemente detectado enquanto investigava um incidente envolvendo uma organização de alto perfil depois de detectar atividades suspeitas envolvendo a legítima ferramenta de consulta active Directory da linha de comando AdFind.

O AdFind é comumente usado por operadores de ransomware para tarefas de reconhecimento, incluindo obter acesso às informações necessárias para o movimento lateral através das redes de suas vítimas.

Como ele age

Poucos dias após os pesquisadores detectarem o uso suspeito do AdFind, os atacantes também tentaram implantar suas cargas de ransomware Yanluowang nos sistemas da organização violado.

Antes de serem implantados em dispositivos comprometidos, os operadores de ransomware lançam uma ferramenta maliciosa projetada para realizar as seguintes ações:

  • Cria um arquivo .txt com o número de máquinas remotas para verificar na linha de comando
  • Usa wmi (Windows Management Instrumentation, instrumentação de gerenciamento do Windows) para obter uma lista de processos em execução nas máquinas remotas listadas no arquivo .txt
  • Registra todos os processos e nomes remotos de máquinas para processos.txt

Uma vez implantado, Yanluowang interromperá as máquinas virtuais do hipervisor, encerrará todos os processos colhidos pela ferramenta precursora (incluindo SQL e Veeam), criptografará arquivos e anexará a extensão .yanluowang.

blank
Tela de resgate da máquina infectada

Ataque DDoS

“Se as regras dos atacantes forem quebradas, os operadores de ransomware dizem que realizarão ataques de negação distribuída de serviço (DDoS) contra a vítima, bem como farão ‘ligações para funcionários e parceiros de negócios’”, acrescentaram os pesquisadores da Broadcom.

“Os criminosos também ameaçam repetir o ataque “em algumas semanas” e excluir os dados da vítima”, uma tática comum usada pela maioria das gangues de ransomware para pressionar suas vítimas a pagar o resgate.

Fonte: Roda de Cuia (Texto traduzido parcialmente de bleepingcomputer)

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

Marcelo Barros
Marcelo Barros
Graduado em Sistemas de Informação pela Universidade Estácio de Sá (2009). Pós-graduado em Administração de Banco de Dados (UNESA), pós-graduado em Gestão da Tecnologia da Informação e Comunicação (UCAM) e MBA em Gestão de Projetos e Processos (UCAM). Atualmente sou o editor-chefe do Defesa em Foco, revista eletrônica especializado em Defesa e Segurança. Em parceria com o guerreiro cibernético Richard Guedes, administramos o portal DCiber.org (www.dciber.org), especializado em Defesa Cibernética, com parceria estratégica com o Instituto CTEM+ (www.ctemmais.org). Participo também como pesquisador voluntário no Laboratório de Simulações e Cenários (LSC) da Escola de Guerra Naval (EGN) nos subgrupos de Cibersegurança, Internet das Coisas e Inteligência Artificial. Atuo também como responsável da parte da tecnologia da informação do Projeto Radar (www.projetoradar.com.br), do Grupo Economia do Mar (www.grupoeconomiadomar.com.br) e da Editora Alpheratz (www.alpheratz.com.br).

ARTIGOS RELACIONADOSMais do autor