Broadcom Software'in Symantec Tehdit Avcısı Ekibi, türünün ilk örneği fidye yazılımını keşfetti

Yanluowang adlı yeni fidye yazılımı ailesi hala geliştirme aşamasında görünüyor ve benzer kodlarda bulunan bazı gelişmiş özelliklerden yoksun. Yine de Symantec, bunun tehlikeli olduğunu söyledi.

<a href="https://www.techrepublic.com/a/hub/i/r/2017/06/26/d00cb9d9-e761-4066-aa3f-8f60aeaf1d9a/resize/770x/5a9e8fd6b1b0e57ca03586767e441dbf/istock-645374756.jpg " target="_blank" data-component="modalEnlargeImage" data-headline="

" data-credit="kaptnali, Getty Images/iStockphoto">istock-645374756.jpg

kaptnali, Getty Images/iStockphoto

Broadcom Software'deki Symantec Tehdit Avcısı Ekibi, görünüşte yepyeni bir fidye yazılımı ölülerin ruhlarını yargılayan Çin tanrısının adını almıştır.

Yanluowang, Cadılar Bayramı sezonu için mükemmel bir fidye yazılımıdır, ancak bu kötü niyetli dijital ruh, daha yerleşik (ve daha korkunç) kardeşlerinin bazılarının inceliğinden ve karmaşıklığından yoksundur.

Sofistike özelliklerin eksikliği (ve bilinmezliği), araştırmacıları Yanluowang'ın sadece kötü kodlanmış olmaktan ziyade muhtemelen yeni olduğu gerçeğine yönlendirdi. Symantec baş editörü Dick O'Brien, "Bunu uygulamanın geliştiricilerin yeteneğinin ötesinde olması mümkündür, ancak daha sonraki bir tarihte uygulamayı planlamalarının daha muhtemel olduğunu ve bunun minimum uygulanabilir bir ürün olduğunu düşünüyoruz" dedi.

GÖRMEK: Parolalar nasıl yönetilir: En iyi uygulamalar ve güvenlik ipuçları (ücretsiz PDF) (Teknik Cumhuriyeti)

Yanluowang'ın nereden geldiği, arkasında kimin olduğu veya Symantec'in isimsiz bir "büyük organizasyona" karşı yanıt verdiği saldırı dışında herhangi bir saldırıda kullanılıp kullanılmadığı bilinmiyor. Elde ettiği dosyalar arasında, Symantec'in az gelişmiş bir fidye yazılımı ailesinden geldiğini söylediği kod vardı ve bunlar, Active Directory sorgu aracı AdFind'in şüpheli kullanımı tarafından ipucu verilmişti.

"Bu araç genellikle fidye yazılımı saldırganları tarafından bir keşif aracı olarak ve saldırganları Active Directory aracılığıyla yanal hareket için ihtiyaç duydukları kaynaklarla donatmak için kötüye kullanılıyor. Kurban kuruluşta şüpheli AdFind etkinliğinin gözlemlenmesinden sadece birkaç gün sonra saldırganlar, Yanluowang fidye yazılımını dağıtmaya çalıştı" Symantec'in raporu şöyle dedi:.

Yanluowang ayrıca, fidye yazılımının kendisini dağıtmadan önce, güvenliği ihlal edilmiş bir bilgisayarda birkaç işaret bırakır: ağdaki uzak makinelerin sayısını içeren bir .txt dosyası oluşturulur ve bu dosya, üzerinde çalışan işlemlerin bir listesini almak için Windows Yönetim Araçları'na karşı çalıştırılır. daha sonra almak için .txt dosyasına kaydedilen makineler.

Yüklendikten sonra, Yanluowang fidye yazılımı, güvenliği ihlal edilmiş bir makinede çalışan tüm hipervizör VMS'lerini durdurur, .txt dosyasında listelenen işlemleri sonlandırır, dosyaları şifreler ve virüslü makineye bir fidye notu içeren bir benioku notu bırakır.

Notun kendisi, mağdurları kolluk kuvvetlerini veya bir arabulucuyu aramamaları konusunda uyarıyor, bunun sonucunda mağdura yönelik DDoS saldırıları meydana geliyor ve iş ortaklarını enfeksiyon hakkında bilgilendirmeye çağırıyor. Bu olaylar zinciri, nihai sonuç olarak veri silme ile tekrar edecekti.

O'Brien, Yanluowang fidye yazılımının yeni olmasına rağmen hiçbir unsurunun benzersiz olmadığını söyledi. Bu, Yanluowang'ın bir tehdit olmadığı anlamına gelmez. O'Brien, "(Yanluowang) bazı meslektaşları kadar karmaşık olmayabilir, ancak başarılı bir saldırı yine de herhangi bir organizasyon için oldukça yıkıcı olacaktır." Dedi.

GÖRMEK: Güvenlik olayı yanıt politikası (TechRepublic Premium)

Fidye yazılımı, yakın zamanda ortadan kalkacak bir sorun değildir. Eğer birşey, sadece daha da kötüleşecek fidye yazılımı aktörleri kod yazma ve güvenlik açıklarından yararlanma konusunda daha iyi hale geldikçe. Kuruluşunuzun takip ettiğinden emin olun fidye yazılımı için en iyi uygulamalar, kullanmak gibi
sıfır güven güvenliği

ve diğer yeni nesil güvenlik ürünleri ve mimarileri.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*