Yanluowang Ransomware: o caçador se torna a caça
O grupo de ransomware Yanluowang é conhecido por lançar ataques cibernéticos contra várias organizações de alto nível, como Cisco , Walmart e SonicWall, no ano passado.
No entanto, em 31 de outubro, o site TOR de Yanluowang foi hackeado e, ao mesmo tempo, um identificador do Twitter @yanluowangleaks despejou as mensagens de bate-papo Matrix de Yanluowang.
De dentro para fora
- Os pesquisadores da Trellix analisaram milhares de mensagens internas vazadas relacionadas ao grupo Yanluowang e revelaram o funcionamento interno do grupo, as vítimas e a possível colaboração com outros grupos russos de ransomware.
- O grupo escolheu seu nome para se disfarçar como um ator de ameaça chinês, no entanto, todas as comunicações nos chats vazados estavam no idioma russo, sugerindo que na verdade é operado por falantes de russo.
- O bate-papo vazado vai de meados de janeiro a setembro e inclui cerca de 2.700 mensagens.
Membros do grupo
A análise dos dados vazados indica que o grupo opera como uma empresa bem organizada, semelhante à Conti .
- Seus membros incluem o líder e gerente de folha de pagamento Saint (também conhecido como sailormorgan32), o desenvolvedor líder Killanas (também conhecido como coder0) e os pen-testers Felix e Shoker.
- Os outros membros incluem dois codificadores Nix/Win32 (aka Stealer) e Coder1, Gykko (que bloqueia as redes das vítimas) e Matanbuchus (vendedor dos carregadores de Yanluowang). Revela ainda conversas com Guki (membro do grupo HelloKitty).
- Um identificador Xander2727 doxou Killanas em Doxbin[.]com e a imagem doxada o mostra vestindo um uniforme militar russo. Xander2727 afirma que Killanas é um administrador de rede no Ministério da Defesa da Federação Russa, no entanto, nenhuma evidência foi encontrada nos chats vazados.
Conexões com outros grupos
- A análise revelou a colaboração entre o grupo e a HelloKitty entre janeiro e meados de maio. Tanto Saint quanto Guki fizeram parte do recente ataque à Cisco e estavam discutindo a publicação dos dados vazados no site de vazamento de dados de Yanlouwang.
- Parece que Yanluowang estava usando o armário Linux da gangue Babuk antes de desenvolver seu próprio armário ransomware Linux/Unix. Alguns dos bate-papos discutiram o motivo de Babuk para sair do jogo ransomware e a perda de um milhão de dólares de Saint com a saída de Babuk.
- Saint reivindicou o perfil Cypherpunk e o ransomware PayLoadBIN para si mesmo, atribuído erroneamente à EvilCorp pelo SentinelOne em fevereiro.
- Guki estava preocupado que seu nome aparecesse em vazamentos de Conti e/ou na lista de procurados do Departamento de Estado dos EUA, indicando um possível cruzamento lá também.
Os pesquisadores descobriram que as transações BTC ligam as carteiras de Conti e Yanluowang em uma cadeia de transações que aponta para os esquemas semelhantes de Conti e Yanluowang para sacar dinheiro: BTC > Monero > Monero > dinheiro por meio de casas de câmbio locais nas grandes cidades.
Conclusão
A análise do bate-papo interno vazado de Yanluowang esclarece o quão sofisticado é o ecossistema de ransomware russo, o quão ágeis e adaptáveis são os agentes de ameaças e até que ponto todos esses grupos estão associados uns aos outros. Ele mostra como grupos de ransomware e suas afiliadas estão predominantemente lançando ataques contra empresas e monetizando suas operações.
Fonte: https://cyware.com/