Un actor de amenazas anteriormente vinculado a la operación de ransomware Thieflock ahora puede estar utilizando el ransomware emergente Yanluowang en una serie de ataques contra corporaciones estadounidenses, según encontraron los investigadores. Investigadores de Symantec, una división de Broadcom Software, encontraron vínculos entre Thieflock y Yanluowang, el último de los cuales revelaron en octubre después de observar su uso contra una gran organización.
Los investigadores creen que un actor de amenazas ha estado usando Yanluowang desde agosto para apuntar principalmente a compañías financieras en Estados Unidos, dijeron en un informe publicado el martes. El actor también ha atacado a empresas de los sectores de fabricación, servicios de TI, consultoría e ingeniería con el novedoso ransomware, dijeron.
Los investigadores encontraron un “vínculo tentativo” entre los nuevos ataques de Yanluowang y los ataques más antiguos que involucran a Thieflock, un ransomware-as-a-service (RaaS) desarrollado por el grupo Canthroid, también conocido como Fivehands.
Pero aquí lo importante es como funciona esta amenaza?
▸Para el movimiento lateral , los atacantes de Yanluowang implementan Adfind, SoftPerfect Network Scanner o netscan.exe, que es similar a lo que se ha observado en los ataques Thieflock.
▸Se utilizan varias herramientas (GrabFF, GrabChrome y BrowserPassView) en la siguiente etapa del ataque para el robo de credenciales. Los atacantes Thieflock utilizaron las mismas herramientas en sus ataques.
Cualquiera que sea el caso de Thieflock, se recomienda a las organizaciones que implementen una sólida estrategia anti-ransomware para proteger su empresa contra estas amenazas.
