Киберпреступники распространяют новую форму программ-вымогателей при атаках на жертв, в которых они не только шифруют сеть, но и создают угрозы для запуска распределенных атак типа «отказ в обслуживании» (DDoS) и преследования сотрудников и деловых партнеров, если выкуп не получен. оплаченный.
Программа-вымогатель, получившая название Yanluowang, была обнаружена исследователями кибербезопасности из группы Symantec Threat Hunter компании Broadcom Software, когда они расследовали попытку кибератаки на крупную неизвестную организацию.
Хотя попытка атаки не увенчалась успехом, расследование выявило новую форму программы-вымогателя. Это также позволило понять, как некоторые киберпреступники пытаются сделать атаки более эффективными — в данном случае с угрозой дополнительных атак.
См. Также: Выигрышная стратегия для кибербезопасность (специальный отчет ZDNet).
Янлуованг бросает записку с требованием выкупа, в которой жертве сообщается, что она заражена программой-вымогателем, и прося ее написать контактный адрес для переговоров о выплате выкупа . В записке жертвам предлагается не связываться с полицией, ФБР или властями и не обращаться в компанию по кибербезопасности — подразумевается, что если жертва сделает это, они не получат свои данные обратно.
Но киберпреступники, стоящие за Yanluowang, идут еще дальше со своими угрозами, предполагая, что, если жертва обратится за помощью извне, они начнут DDoS-атаки против жертвы, переполнив свои веб-сайты таким большим объемом трафика, что они сбой — и они будут звонить сотрудникам и деловым партнерам. Они также предполагают, что если жертва откажется сотрудничать, она вернется с дополнительными атаками или даже удалит зашифрованные данные, так что они потеряны навсегда.
«Трудно сказать, действительно ли это угроза. Тем не менее, это определенно соответствует тому, что мы видим от других участников программ-вымогателей, которые, кажется, чувствуют угрозу, когда жертвы обращаются в правоохранительные органы или делятся информацией с третьими лицами. вечеринки, — рассказал ZDNet главный редактор Symantec Дик О'Брайен.
До сих пор неясно, как киберпреступники получили доступ к сети. Тем не менее исследователи раскрыли атаку после выявления подозрительного использования AdFind, законной командной строки в инструменте запросов Active Directory.
Этот инструмент часто используется злоумышленниками в качестве средства разведки для использования Active Directory и поиска дополнительных способов тайного перемещения по сети с конечной целью развертывания программ-вымогателей.
В этом случае злоумышленники попытались развернуть программу-вымогатель всего через несколько дней после обнаружения подозрительной активности — и в конечном итоге попытка атаки программы-вымогателя была предотвращена, поскольку контрольные признаки атаки были обнаружены и заблокированы.