LukaLocker Ransomware

Ha sorgit un nou actor de ransomware que utilitza tàctiques de doble extorsió amb una sèrie d'atacs en un curt període de temps. Aquesta entitat introdueix un innovador programari maliciós de taquilles anomenat LukaLocker Ransomware, equipat amb diverses tècniques d'evasió per ofuscar les seves operacions i dificultar les investigacions forenses. Identificat pels investigadors com el "Dimoni del volcà", un grup cibercriminal ha cridat l'atenció pel seu nou ús del LukaLocker, que era un programari maliciós per a taquilles que abans no s'havia vist. Els fitxers xifrats per aquesta amenaça s'afegeixen amb l'extensió '.nba'.

Tàctiques observades en els atacs dels dimonis del volcà

Els atacants utilitzen mètodes d'evasió sofisticats, com ara el desplegament de solucions mínimes de registre de víctimes i monitorització abans d'iniciar atacs. A més, utilitzen trucades telefòniques "amenaçadores" dels números "Sense identificador de trucades" per coaccionar les víctimes a pagar un rescat o a negociar condicions.

Abans de l'explotació, els registres s'esborren sistemàticament, impedint l'anàlisi forense exhaustiva dels incidents detectats. El grup conegut com el Dimoni del Volcà, s'absté de mantenir un lloc de fuites malgrat emprar tàctiques d'extorsió doble durant les seves operacions.

Durant els seus assalts, el Volcano Demon utilitza credencials administratives compromeses obtingudes de xarxes de víctimes per introduir una variant Linux de LukaLocker. Aquest programari maliciós xifra eficaçment tant les estacions de treball com els servidors de Windows. Abans d'implementar el ransomware, els atacants exfiltren les dades al seu servidor de comandament i control (C2), millorant el seu poder en escenaris d'extorsió doble.

Es demana a les víctimes que es comuniquin mitjançant el programari de missatgeria qTox i que esperen devolucions de trucades per obtenir suport tècnic, cosa que complica els esforços per rastrejar les comunicacions entre els atacants i les víctimes.

El LukaLocker Ransomware finalitza el programari de seguretat i bloqueja les dades

El LukaLocker Ransomware es va descobrir el juny de 2024 com un binari PE x64 desenvolupat en C++. Segons els investigadors, utilitza l'ofuscament de l'API i la resolució dinàmica de l'API per enfosquir les seves operacions perjudicials, evitant la detecció, l'anàlisi i l'enginyeria inversa. El ransomware utilitza el xifrat Chacha8 per xifrar dades a granel. Genera una clau Chacha8 i un nonce aleatoris mitjançant l'algoritme d'acord de claus de corba el·líptica Diffie-Hellman (ECDH) sobre Curve25519. Els fitxers es poden xifrar completament o amb diferents percentatges, com ara 50%, 20% o 10%.

Després de l'execució, tret que s'especifiqui "--sd-killer-off", LukaLocker finalitza ràpidament diversos serveis de seguretat i monitoratge crítics a la xarxa. Aquests inclouen eines anti-malware i de protecció de punts finals, solucions de còpia de seguretat i recuperació, programari de bases de dades de Microsoft, IBM i Oracle, Microsoft Exchange Server, programari de virtualització i eines d'accés i supervisió remots. També finalitza els processos relacionats amb els navegadors web, Microsoft Office i diverses aplicacions d'accés remot i al núvol.

Com protegir millor les vostres dades i dispositius de les amenaces de ransomware?

Per protegir millor les vostres dades i dispositius de les amenaces de programari maliciós i ransomware, considereu implementar les pràctiques següents:

• KeeYour Applications Actualitzades : actualitzeu regularment el vostre sistema operatiu, les aplicacions i el programari de seguretat per corregir les vulnerabilitats que puguin ser explotades pel programari maliciós.
• Utilitzeu contrasenyes úniques i fortes : feu servir contrasenyes complexes i canvieu-les amb freqüència. Penseu a trobar un gestor de contrasenyes per fer-ne un seguiment de manera segura.
• Habilita l'autenticació multifactor (MFA) : afegiu una capa addicional de seguretat activant l'MFA als comptes que l'admeten, dificultant que els atacants tinguin accés no autoritzat.
• Còpia de seguretat de dades regularment : creeu i mantingueu còpies de seguretat periòdiques dels fitxers importants. Emmagatzemeu les còpies de seguretat en una ubicació independent, ja sigui fora de línia o al núvol, per garantir-ne la seguretat encara que el vostre sistema principal estigui compromès.
• Sigueu prudents amb els correus electrònics i els enllaços : eviteu obrir fitxers adjunts o seguir enllaços de fonts desconegudes o sospitoses. Verifiqueu la identitat del remitent abans d'interaccionar amb correus electrònics inesperats.
• Instal·leu i mantingueu el programari de seguretat : feu servir un programari anti-malware de bona reputació i mantingueu-lo actualitzat. Activeu la protecció en temps real i executeu exploracions periòdiques.
• Protegiu la vostra xarxa : utilitzeu una contrasenya Wi-Fi única i segura i activeu el xifratge WPA3. Considereu la possibilitat d'establir una xarxa de convidats perquè els visitants mantinguin la vostra xarxa principal segura.
• Desactiva les macros als documents d'Office : desactiveu les macros als documents de Microsoft Office tret que les necessitis específicament. Les macros són un mètode comú per difondre programari maliciós.
• Educar-se a tu mateix i als altres : estigues informat sobre les últimes amenaces de ciberseguretat i les millors pràctiques. Eduqueu els membres de la família o els companys sobre tàctiques de pesca i comportaments segurs en línia.
• Utilitzeu tallafocs : activeu els tallafocs als vostres dispositius i a la xarxa per bloquejar l'accés no autoritzat i controlar el trànsit entrant i sortint per detectar activitats sospitoses.

En combinar aquestes estratègies, es pot reduir dràsticament el risc de ser víctime de ransomware i altres amenaces de programari maliciós.