Ransomware gibt es wie Sand am Meer, doch immer wieder verschaffen sich Angreifer mit neuen Erpressertrojanern Verhör. Dazu gehört auch Yanluowang. Diesen Monat wurden nämlich verschiedene erfolgreiche Ransomware-Angriffe mit Yanluowang gegen Firmen aller Größen verzeichnet.
Was es mit Yanluowang auf sich hat und wie Sie sich vor Ransomware erfolgreich schützen können, erfahren Sie hier.
Unser Beitrag über Ransomware Yanluowang im Überblick:
Ransomware Yanluowang
Yanluowang ist eine junge Ransomware, mit der eine Gruppe von bisher unbekannten Cyberkriminellen zahlreiche Unternehmen verschiedene Größen angreift. Erstmals wurde der nach einer chinesischen Gottheit der Unterwelt (auch: Yanluo Wang oder Yan Wang) benannte Erpressertrojaner Mitte des Jahres 2021 verzeichnet. Die meisten bisher bekannten Ransomware-Angriffe wurden von der Yanluowang-Gruppe aber erst im Frühjahr und Sommer 2022 gestartet.
Zahlreiche Firmen aus der ganzen Welt, unter anderem aus den USA, den Vereinigten Arabischen Emirate, Brasilien, China, der Türkei und Deutschland, sind bereits Opfer des jungen Erpressertrojaners geworden. Es ist davon auszugehen, dass die Schadsoftware noch weitere Opfer fordern wird.
Nach den heutigen Erkenntnissen von Cybersicherheitsexperten ist Yanluowang nämlich noch in der Entwicklungsphase und könnte in Zukunft noch gefährlicher werden. Verschiedene Funktionen, die bisher nicht aktiviert werden, sind in das erschreckend professionelle Ransomware-Programm bereits integriert.
Die Ransomware Yanluowang ist nach einer chinesischen Gottheit der Unterwelt benannt. Bild: 国立博物館所蔵品統合検索システム Integrated Collections Database of the National Museums, Japan [CC BY 4.0], via Wikimedia Commons
Vorgehen der Yanluowang-Gruppe
Anders als viele andere Ransomware-Gruppen vertreibt die Yanluowang-Gruppe ihre Ransomware nach heutigem Wissensstand nicht als Ransomware-as-a-Service, sondern setzt den Erpressertrojaner im Rahmen von größer angelegten Voice-Phishing-Angriffen ein. Beim Voice Phishing handelt es sich um eine Social-Engineering-Strategie, die darauf abzielt, Mitarbeiter durch geplante Anrufe zu manipulieren.
Die Yanluowang-Gruppe nutzt dabei vor allem mithilfe von Deep Learning entwickelte Stimmverzerrer, die echte Stimmen von Vorgesetzten, Sicherheitsbeauftragten und Geschäftspartnern nachahmen. Die Angreifer fordern dabei Mitarbeiter dazu auf, Pushnachrichten von Authenticator-Apps zu bestätigen.
Da die Yanluowang-Angreifer die notwendigen Zugangsdaten bereits vorher gekapert haben, wird ihnen durch die Bestätigung der Zwei-Faktor-Authentifizierung der Weg ins Unternehmensnetz geebnet. Diese als MFA-Bombing bezeichnete Taktik kennt man unter anderem von der Hackergruppe Lapsus$.
Infiltrieren von Fremdsystemen
Bevor die Yanluowang-Gruppe ihre Ransomware auf den kompromittierten Systemen ausspielen, missbrauchen sie das Befehlszeilen-Abfragetool AdFind von Active Directory. Dadurch verschaffen sie sich eine Übersicht über das gehackte Netzwerk und können sich hierin fortbewegen.
Im nächsten Schritt bereitet Yanlouwang ihren eigentlichen Ransomware-Angriff vor. Dabei verwendet die Gruppe unter anderem die Windows Management Instrumentation (WMI), um eine Liste aller Prozesse zu erhalten, die auf den gekaperten Systemen ausgeführt werden. Die Namen aller Prozesse werden in der Textdatei „processes.txt“ gespeichert.
Alle Hypervisor-Maschinen, die auf den infizierten Rechnern laufen, werden jetzt heruntergefahren und alle im „processes.txt“ gespeicherten Prozesse werden beendet. Jetzt spielt die Hackergruppe ihren Erpressertrojaner aus, der alle Dateien auf den infizierten Systemen sperrt und die Endung „.yanluowang“ dem ursprünglichen Namen anhängt.
Exkurs: Was ist ein Hypersior?
Sie fragen sich gerade, was Hypervisor-Maschinen sind? Ein Hypervisor ist eine abstrakte Schicht, die als Vermittler dient? Sie hat Ihren Ursprung in der Virtualisierung von Computern. Denn: Will man kein komplettes PC-System aufbauen (inklusive Hardware und Betriebssystem), kann man sich eine virtuelle Version davon erschaffen.
Diese Technik wird beispielsweise in der Software-Entwicklung eingesetzt, um sichere Testumgebungen zu erschaffen. Damit das aber funktionieren kann, muss der virtuell PC auf einem existierenden System aufgesetzt sein. Und zwischen dem virtuellen und dem existierenden System muss es wiederum eine Instanz geben, die eine Verbindung zwischen beiden herstellt, ohne dabei weder von dem einen noch von dem anderen System beeinflusst zu werden. Hier kommt der Hypervisor ins Spiel, der als Vermittler eine abstrakte Schicht bildet und Verwaltung beider Systeme zuständig ist.
Der Hypervisor ist also eine Software, die die Verwaltung der benötigten Ressourcen übernimmt. Auch genau darauf hat es die Ransomware Yanluowang im ersten Schritt abgesehen.
Forderung und Drohung
Die Yanluowang-Gruppe hinterlegt auf allen infizierten Systemen eine Notiz, in der sie eine konkrete Geldforderung nennen, die zu zahlen ist. Sollten Unternehmen diese Forderung nicht erfüllen, so droht die Hackergruppe, starten sie gegen das Unternehmen DDoS-Angriffe. Auch verkünden sie, dass sie Mitarbeiter und Geschäftspartner des Unternehmens anrufen und Angriffswellen starten werden.
In der Notiz werden sensible Daten aufgelistet, die sich im Besitz der Yanluowang-Gruppe befinden. Die Hacker drohen damit, diese im Darknet zu veröffentlichen. Verschiedene Unternehmen berichteten, dass den Spear-Phishing-Angriffen eine intensive Recherche über das Unternehmen, die Mitarbeiter und die Partnerschaften vorausgeht. Sind sensible Unternehmensdaten erst einmal öffentlich, sinkt das Vertrauen in die entsprechende Firma und das kann letztlich zum existenziellen Ruin führen.
Immer mehr Firmen weltweit werden Opfer von Angriffen der Yanluowang-Gruppe. Bild: Pexels/@olly
Angriff auf Netzwerk von Cisco Systems
Seit Anfang August ist bekannt, dass die Ransomware-Gruppe Yanluowang bereits Ende Mai in das Unternehmensnetzwerk des US-amerikanisches Telekommunikationsunternehmen Cisco Systems eingedrungen ist. Die Ransomware-Gruppe hat dabei rund 3.100 interne Daten kopiert und drohte Cisco bereits mit einer Veröffentlichung dieser, sollte das Unternehmen der geforderten Lösegeldforderung nicht nachkommen.
Unter den Dateien sollen sich Vertraulichkeitsvereinbarungen und technische Zeichnungen befinden. Mittlerweile veröffentlichte die Hackergruppe eine Dateiübersicht auf ihrer Webseite im Darknet und drohte an, dort auch die Dateien online zu stellen.
Laut Cisco gibt es bisher keine Hinweise, die auf einen Ransomware-Payload hindeuten, also darauf, dass die Daten nach Bezahlung der Lösegeldforderung auch wirklich freigegeben werden können. Dieses Vorgehen ist typisch für heutige Erpressertrojaner.
Schutz vor Yanluowang & Co.
Für viele kleine und mittelständische Unternehmen und Selbstständige ist der Datendiebstahl das Worst-Case-Szenario. Wenn Kriminelle vertrauliche Kundendaten und sensible Arbeitsdokumente entfremden oder sogar veröffentlichen, droht ein erheblicher Imageschaden. Und nicht nur das!
Um sich vor Ransomware Yanluowang und anderen Erpressertrojanern zu schützen, sollten Sie das Thema IT-Sicherheit nicht vernachlässigen. Wenden Sie sich deswegen vorsorglich an PC-SPEZIALIST in Ihrer Nähe und lassen sich beraten. Zu den wichtigsten Aspekten des Schutzes vor Yanluowang und anderer Ransomware gehören:
- die ganzheitliche Backup-Strategie – immerhin können ihnen die Verschlüsselungen und Löschungen nichts anhaben, wenn Sie ihre Daten nach der 3-2-1-Regel abgesichert haben. Optimalerweise sollte nach entsprechender Regel zu jedem Zeitpunkt drei Datenkopien in mindestens zwei unterschiedlichen Speichermedien abgesichert sein.
- die Implementierung eines Anti-Ransomware-Systems mit Angriffsfrüherkennung – Cyberangriffe können nämlich bereits im Frühstadium erkannt und unterbunden werden, wenn Ihr Antivirenschutz mit einem Anti-Ransomware-System mit Früherkennung ausgestattet ist.
Mit dem IT-Basisschutz, den es in individuellem Umfang gibt, können Sie Ihrer täglichen Arbeit ganz unbesorgt nachgehen. Wir beseitigen mithilfe eines kontinuierlichen Patch-Managements alle bekannten Sicherheitslücken und versuchen mithilfe eines professionellen Antivirenprogramms alle Angriffe direkt abzublocken. Natürlich sind wir von PC-SPEZIALIST aber auch der passende Ansprechpartner für private Endkunden. Sollten Sie Opfer von Ransomware Yanluowang oder anderen Erpressertrojanern geworden sein, sprechen Sie uns gern an.
_______________________________________________
Andere Stimmen zum Thema: it-daily.net, golem.de, Kaspersky, EngimaSoft, Cisco Talos Intelligence Group Blog, ionos.de
Schreiben Sie einen Kommentar