Ransomware – Yanluowang Chat Leaks

0
101

Suite à la divulgation de 27 000 messages provenant des chats internes du groupe de rançongiciels Yanluowang, Trellix a procédé à leur analyse et fait quelques constats que vous retrouvez ci-dessous. De plus amples détails sont disponibles ici.

Tribune – Pour rappel, le groupe de rançongiciels Yanluowang a été découvert pour la première fois par Symantec en octobre 2021. Yanluowang est l’auteur d’attaques particulièrement ciblées contre Cisco, Walmart et d’autres compagnies. Il s’agit de la deuxième plus grande fuite de chat interne d’un groupe de rançongiciels russe après Conti.

Pour les victimes de ce ransomware, il est à noter que les chercheurs de Kaspersky ont découvert en avril 2022 une vulnérabilité dans l’algorithme de Yanluowang et créé un outil de décryptage gratuit pour aider les victimes à récupérer leurs fichiers.

Principales observations sur Yanluowang effectuées par Trellix

  • Bien que le nom « Yanluowang” soit de consonance chinoise, toutes les communications divulgués étaient en langue russe, suggérant que le nom a été délibérément pour faire passer pour un acteur chinois.
  • Xander2727, un des principaux développeur de Yanluowang, est notamment administrateur réseau au ministère de la Défense russe.
  • À la mi-mai 2022, Guki rejoint le chat de la salle Yanluowang. Il est associé au rançongiciel HelloKitty ayant attaqué par le passé une 12aine d’entreprises. 
  • Avant que Yanluowang ne développe son propre ransomware Linux/Unix, ils utilisaient un locker Linux développé par Babuk, un autre groupe de ransomware.

En conclusion, l’analyse effectuée par Trellix permet de mettre en lumière la sophistication de l’écosystème russe des rançongiciels, l’agilité et l’adaptabilité des acteurs et la mesure dans laquelle tous ces groupes cybercriminels sont liés les uns aux autres.