Yanluowangランサムウェア

Yanluowangと命名された新しいランサムウェアの活動が観測されています。
このランサムウェアは次のような手順で展開されます。

• 環境に存在するWindowsホストを攻撃対象とするため、そのIPアドレス一覧を作成する
• 一覧されたそれぞれのホストのプロセス一覧を作成する
• それぞれのホストを侵害する
  • 対象ホストにてランサムウェアを起動する
  • ハイパーバイザー仮想マシンを停止する
  • 作成済みのリストを使用し、各プロセスを停止する
  • ファイルを暗号化し、yanluowang拡張子を追加する
  • 身代金メモをおく

身代金メモには次のような内容が記載されています。

• 被害者に法執行機関に連絡してはいけない
• ランサムウェア交渉会社に助けを求めたりしてはいけない
• ランサムウェアのオペレーターは、被害者がルールを尊重しない場合、次の行動をとる
  • 被害者に対して分散型サービス拒否（DDoS）攻撃を実施する
  • 数週間後に再び被害者を標的にしてそのデータを削除するとともに、被害者のブランドの評判を傷つけるために従業員やビジネスパートナーに電話をかける

ひどい話です。

上記の攻撃手順のなかの情報収集を実施する段階において使用されるツールのなかに、AdFindというものも含まれています。
このツールはもともとは攻撃ツールではなく、Windowsの管理に利用できるツールなのですが、Yanluowangランサムウェアだけでなく、Lazarusをはじめ他のグループでも使用されていることが確認されています。

Yanluowangランサムウェアのある事例の場合、このAdFindでの情報収集が実施された数日後に、ランサムウェアの活動が観測されています。
こういった準備段階の活動を、いかにして速やかに検出し、問題となる前に対処できるのかで明暗が分かれそうです。
こういった活動の検出、どうやって実現しましょうか。

参考記事（外部リンク）：New Yanluowang ransomware used in highly targeted attacks on
large orgs
securityaffairs.co/wordpress/123328/malware/yanluowang-ransomware-targeted-attacks.html