最近,赛门铁克在信息安全领域调查了一家未命名的公司“大型组织”在攻击中发现了一种新的、仍在开发的勒索软件yanluowang作为一个加密扩展名称,它正在攻击知名企业。基于其扩展,加密文件被添加到受威胁的系统中。
调查显示,最近在一起涉及高调组织的事件中发现,该事件涉及法律AdFind命令行ActiveDirectory可疑活动后发现查询工具。
警告受害者不要求助
研究人员发现可疑AdFind在几天内,攻击者还试图在被破坏的组织系统中部署它们Yanlowang Ransomware有效载荷。在部署到受威胁的设备之前,Ransomware操作员将启动执行以下操作的恶意工具:
- 创建一个.txt文件包括远程计算机数量,需要签入命令行
- 使用Windows管理工具(WMI)获取在.txt运行 的进程列表在文件中列出的远程计算机上
- 记录所有过程和远程机器的名称processes.txt
赛门铁克说,它还记录了所有的过程和远程机器的名称。然后后,Yanlowang前体工具将停止虚拟机管理程序(包括SQL和Veeam)所有获得的过程,加密文件过程.yanlowang扩展名。在加密系统中,Yanlowang还抛出了一个名字README.txt赎金通知警告受害者不要向执法部门或任何勒索软件谈判公司寻求帮助。
DDoS攻击的威胁
赛门铁克研究人员补充说:“如果攻击者的规则被破坏,他们将分布式拒绝为受害者服务 (DDoS) 攻击并打电话给员工和商业伙伴。犯罪分子还威胁要“几周内”重复攻击和删除受害者的数据是大多数赎金团伙迫使受害者支付赎金的常见手段。”
“虽然yanluowang勒索软件似乎还在开发中,但不可低估。赎金软件是世界各组织面临的最大威胁之一,yanluowang仍然是危险的恶意软件。
根据NCC Group 最新数据显示,2021年第一季度和第二季度勒索软件攻击量激增 288% 。