Yanluowang

Cisco diretas oleh geng ransomware Yanluowang, 2.8GB diduga dicuri

August 12, 2022 by Eevee

Cisco hari ini mengkonfirmasi bahwa kelompok ransomware Yanluowang melanggar jaringan perusahaannya pada akhir Mei dan bahwa aktor tersebut mencoba memeras mereka di bawah ancaman membocorkan file curian secara online.

Perusahaan mengungkapkan bahwa penyerang hanya dapat memanen dan mencuri data yang tidak sensitif dari folder Box yang ditautkan ke akun karyawan yang disusupi.

“Pada 10 Agustus, aktor jahat menerbitkan daftar file dari insiden keamanan ini ke web gelap. Kami juga telah menerapkan langkah-langkah tambahan untuk melindungi sistem kami dan membagikan detail teknis untuk membantu melindungi komunitas keamanan yang lebih luas.”

Pelaku ancaman Yanluowang memperoleh akses ke jaringan Cisco menggunakan kredensial curian karyawan setelah membajak akun Google pribadi karyawan yang berisi kredensial yang disinkronkan dari browser mereka.

Penyerang meyakinkan karyawan Cisco untuk menerima pemberitahuan push multi-factor authentication (MFA) melalui kelelahan MFA dan serangkaian serangan phishing suara canggih yang diprakarsai oleh geng Yanluowang yang meniru organisasi pendukung tepercaya.

Kelelahan MFA adalah taktik serangan di mana pelaku ancaman mengirimkan aliran konstan permintaan otentikasi multi-faktor untuk mengganggu target dengan harapan bahwa mereka akhirnya akan menerima satu untuk menghentikan mereka dari yang dihasilkan.

Pelaku ancaman akhirnya menipu korban untuk menerima salah satu notifikasi MFA dan mendapatkan akses ke VPN dalam konteks pengguna yang ditargetkan.

Begitu mereka mendapatkan pijakan di jaringan perusahaan perusahaan, operator Yanluowang menyebar secara lateral ke server Citrix dan pengontrol domain.

Setelah mendapatkan admin domain, mereka menggunakan alat enumerasi seperti ntdsutil, adfind, dan secretdump untuk mengumpulkan lebih banyak informasi dan memasang serangkaian muatan ke sistem yang disusupi, termasuk malware pintu belakang.

Pada akhirnya, Cisco mendeteksi dan mengusir penyerang dari lingkungannya, tetapi mereka terus mencoba untuk mendapatkan kembali akses selama beberapa minggu berikutnya.

Untuk membantu admin jaringan dan profesional keamanan mendeteksi malware yang digunakan dalam serangan, Cisco membuat dua deteksi ClamAV baru untuk pintu belakang dan eksploitasi Windows yang digunakan untuk peningkatan hak istimewa.

Menangkan.Mengeksploitasi.Kolobko-9950675-0
Menangkan.Pintu Belakang.Kolobko-9950676-0

Sementara Cisco memberikan beberapa informasi tentang pintu belakang dan bagaimana itu digunakan untuk mengeksekusi perintah dari jarak jauh, tulisan mereka tidak menyebutkan info tentang eksploit yang dapat dieksekusi yang ditemukan.

Namun, menurut deteksi di VirusTotal, eksploitasinya adalah untuk CVE-2022-24521, kerentanan Windows Common Log File System Driver Elevation of Privilege, yang dilaporkan oleh NSA dan CrowdStrike ke Microsoft dan ditambal pada April 2022.

Peretas mengklaim mencuri data dari Cisco
Pekan lalu, aktor ancaman di balik peretasan Cisco mengirim email ke BleepingComputer daftar direktori file yang diduga dicuri selama serangan itu.

Pelaku pengancam mengaku telah mencuri data sebesar 2,75GB yang terdiri dari sekitar 3.100 file. Banyak dari file-file ini adalah perjanjian non-disclosure, dump data, dan gambar teknik.

Pelaku ancaman juga mengirim dokumen NDA yang disunting yang dicuri dalam serangan tersebut ke BleepingComputer sebagai bukti serangan dan “petunjuk” bahwa mereka melanggar jaringan Cisco dan mengekstrak file.

Dokumen bukti pelanggaran Cisco (BleepingComputer)

Hari ini, pemeras mengumumkan pelanggaran Cisco di situs kebocoran data mereka dan menerbitkan daftar direktori yang sama yang sebelumnya dikirim.

Cisco juga mengatakan bahwa, meskipun geng Yanluowang dikenal karena mengenkripsi file korban mereka, mereka tidak menemukan bukti muatan ransomware selama serangan tersebut.

Geng Yanluowang juga mengklaim baru-baru ini melanggar sistem pengecer Amerika Walmart yang membantah serangan itu, mengatakan kepada BleepingComputer bahwa mereka tidak menemukan bukti serangan ransomware.

Pembaruan: Menambahkan lebih banyak info tentang aktivitas Yanluowang dalam jaringan perusahaan Cisco.
Pembaruan 8/11/22: Menambahkan info tentang deteksi ClamAV dan mengeksploitasi executable yang digunakan dalam serangan.

Sumber: Bleeping Computer

Operasi Ransomware Yanluowang Tumbuh Dengan Afiliasi Berpengalaman

December 1, 2021 by Eevee

Afiliasi dari operasi ransomware Yanluowang yang baru-baru ini ditemukan memfokuskan serangannya pada organisasi AS di sektor keuangan menggunakan malware BazarLoader dalam tahap pengintaian.

Berdasarkan taktik, teknik, dan prosedur yang diamati, aktor ancaman berpengalaman dengan operasi ransomware-as-a-service (RaaS) dan dapat dikaitkan dengan kelompok Fivehands.

Koneksi ransomware Fivehands

Para peneliti di Symantec, sebuah divisi dari Broadcom Software, mencatat bahwa aktor tersebut telah mencapai target profil yang lebih tinggi di AS setidaknya sejak Agustus.

Selain lembaga keuangan, afiliasi ransomware Yanluowang juga menargetkan perusahaan di sektor manufaktur, layanan TI, konsultasi, dan teknik.

Melihat taktik, teknik, dan prosedur (TTP), para peneliti melihat kemungkinan hubungan dengan serangan yang lebih tua dengan Thieflock, operasi ransomware yang dikembangkan oleh kelompok Fivehands.

Fivehands ransomware sendiri relatif baru di skena ini, dikenal pada bulan April – pertama kali dalam laporan dari Mandiant, yang melacak pengembangnya sebagai UNC2447, dan kemudian saat dapat peringatan dari CISA.

Pada saat itu, Mandiant mengatakan bahwa UNC2447 menunjukkan “kemampuan canggih untuk menghindari deteksi dan meminimalkan forensik pasca-intrusi,” dan bahwa afiliasinya telah menyebarkan ransomware RagnarLocker.

Alat perdagangan

Setelah mendapatkan akses ke jaringan target, penyerang menggunakan PowerShell untuk mengunduh alat, seperti malware BazarLoader untuk membantu bergerak secara lateral.

BazarLoader dikirim ke target perusahaan oleh botnet TrickBot, yang juga menyebarkan ransomware Conti. Baru-baru ini, operator TrickBot mulai membantu membangun kembali botnet Emotet.

Aktor ancaman Yanluowang memungkinkan layanan desktop jarak jauh (RDP) dari registri dan menginstal alat ConnectWise untuk akses jarak jauh.

Para peneliti mengatakan bahwa afiliasi menemukan sistem yang menarik dengan alat AdFind – untuk query Active Directory, dan SoftPerfect Network Scanner – untuk menemukan nama host dan layanan jaringan.

Beberapa alat digunakan untuk mencuri kredensial dari browser (Firefox, Chrome, Internet Explorer) dari mesin yang dikompromikan: GrabFF, GrabChrome, BrowserPassView.

Peneliti Symantec juga memperhatikan bahwa penyerang menggunakan KeeThief untuk mencuri kunci utama untuk pengelola kata sandi KeePass, alat tangkapan layar, dan utilitas exfiltrasi data Filegrab.

Dalam laporan sebelumnya tentang serangan Yanluowang, perusahaan mengatakan bahwa peretas mengancam dengan serangan denial-of-service (DDoS) dan data wiping jika korban tidak memenuhi tuntutan.

Sumber: Bleepingcomputer

Ransomware Yanluowang Baru Digunakan Dalam Serangan Perusahaan Yang Ditargetkan

October 15, 2021 by Winnie the Pooh

Jenis ransomware baru dan masih dalam pengembangan sedang digunakan dalam serangan yang sangat bertarget terhadap entitas perusahaan seperti yang ditemukan oleh Tim Pemburu Ancaman Symantec dari Broadcom.

Malware, dijuluki Yanluowang ransomware (setelah dewa Cina Yanluo Wang, salah satu dari sepuluh raja neraka) berdasarkan ekstensi yang ditambahkan ke file terenkripsi pada sistem yang disusupi.

Baru-baru ini terlihat saat menyelidiki insiden yang melibatkan organisasi terkenal setelah mendeteksi aktivitas mencurigakan yang melibatkan alat kueri Active Directory baris perintah AdFind yang sah.

AdFind biasanya digunakan oleh operator ransomware untuk tugas pengintaian termasuk mendapatkan akses ke informasi yang diperlukan untuk pergerakan lateral melalui jaringan korban mereka.

Dalam beberapa hari setelah para peneliti menemukan penggunaan AdFind yang mencurigakan, para penyerang juga berusaha untuk menyebarkan muatan ransomware Yanluowang mereka di seluruh sistem organisasi yang dilanggar.

Setelah digunakan, Yanluowang akan menghentikan mesin virtual hypervisor, mengakhiri semua proses yang diambil oleh alat pendahulu (termasuk SQL dan Veeam), mengenkripsi file dan menambahkan ekstensi .yanluowang.

Pada sistem yang terenkripsi, Yanluowang juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korbannya untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

“Jika aturan penyerang dilanggar, operator ransomware mengatakan mereka akan melakukan serangan distributed denial of service (DDoS) terhadap korban, serta melakukan ‘panggilan ke karyawan dan mitra bisnis’,” tambah peneliti Broadcom.

Indikator kompromi termasuk hash malware dapat ditemukan di akhir laporan Symantec Threat Hunter Team.

Meskipun dalam pengembangan, Yanluowang masih merupakan malware berbahaya mengingat ransomware adalah salah satu ancaman terbesar yang dihadapi organisasi di seluruh dunia.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Yanluowang

Koneksi ransomware Fivehands

Alat perdagangan

Cookies Settings