La lista dei ransomware diffusi globalmente continua ad allargarsi: dopo le segnalazioni dell’FBI in merito alla diffusione del ransomware Conti, ora nuove analisi condotte dai soliti esperti di cybersicurezza parlano di un nuovo malware in circolazione chiamato Yanluowang. Vediamo come funziona e chi c’è nel mirino dei malintenzionati.

Stando a quanto scoperto dal Symantec Threat Hunter Team di Broadcom, questo ceppo di ransomware d’origine presumibilmente cinese sembrerebbe essere ancora in fase di sviluppo ma già in attività. Il fatto che sia completamente nuovo lo rende particolarmente difficile da contrastare, soprattutto se si considera che gli attacchi che contano su Yanluowang sono ancora pochi e ben selezionati.

Le indagini che hanno portato alla sua scoperta riguardavano un’offensiva subita da un numero limitato di aziende e organizzazioni d’alto profilo. Inizialmente, le analisi hanno notato l’attività sospetta di AdFind, strumento utilizzato dai malintenzionati del caso per la ricognizione del dispositivo bersaglio e delle reti a cui è collegato. Pochi giorni dopo, gli aggressori hanno avviato l’offensiva vera e propria non solo con l’attivazione del payload sul primo computer, ma anche con la distribuzione di Yanluowang attraverso i sistemi dell'organizzazione violata.

L’esito lo possiamo immaginare: il ransomware ha crittografato i file presenti nel computer, aggiungendoci poi l’estensione .yanluowang (da cui il nome del malware), e rilasciato la richiesta di riscatto su un file denominato README.txt, con l’esplicito avvertimento di non contattare forze dell’ordine, società di cybersicurezza o esperti nella negoziazione con i responsabili dell’attacco ransomware. Se le vittime dovessero infrangere le regole poste, allora gli aggressori procederanno con attacchi DDoS per abbattere i servizi del malcapitato. Inoltre, non mancheranno seguenti minacce di altri attacchi “nel giro di poche settimane” in seguito alla cancellazione dei dati crittografati della vittima.

In altre parole, Yanluowang è a tutti gli effetti una minaccia da non sottovalutare. Sebbene ora gli attacchi riguardino solamente bersagli d’alto profilo, non è da escludersi l’espansione del ransomware con utilizzo da parte di altri gruppi interessati anche a piccole imprese e privati. Consigliamo, dunque, di prestare molta attenzione a ciò che si fa su Internet e ai software e dati scaricati online da fonti non propriamente sicure.

