LockBeast Ransomware

Μέχρι το Mezo το Ransomware

Μετάφραση σε:

Το ransomware παραμένει μια από τις πιο ανατρεπτικές κυβερνοαπειλές για οργανισμούς και οικιακούς χρήστες. Μία μόνο επιτυχημένη εισβολή μπορεί να κλειδώσει κρίσιμα για την επιχείρηση δεδομένα, να σταματήσει τις λειτουργίες και να πυροδοτήσει δαπανηρές προσπάθειες αντιμετώπισης περιστατικών και αποκατάστασης. Η δημιουργία πολυεπίπεδων αμυντικών συστημάτων και ετοιμότητας αντιμετώπισης πριν από μια έξαρση είναι η διαφορά μεταξύ ενός περιορισμένου συμβάντος και μιας κρίσης.

ΣΥΝΟΨΗ ΑΠΕΙΛΗΣ

Μόλις εκτελεστεί το LockBeast Ransomware, κρυπτογραφεί τα δεδομένα χρήστη, τροποποιεί τα ονόματα αρχείων για να ενσωματώσει ένα αναγνωριστικό θύματος και εμφανίζει ένα σημείωμα λύτρων με τίτλο «README.TXT». Οι χειριστές συνδυάζουν την κρυπτογράφηση με την κλοπή δεδομένων για να πιέσουν τα θύματα να πληρώσουν, απειλώντας να διαρρεύσουν ευαίσθητες πληροφορίες εάν η επικοινωνία δεν πραγματοποιηθεί εντός ενός καθορισμένου χρονικού διαστήματος.

ΡΟΗ ΕΡΓΑΣΙΑΣ ΚΡΥΠΤΟΓΡΑΦΗΣΗΣ ΚΑΙ ΜΕΤΟΝΟΜΑΣΗΣ ΑΡΧΕΙΩΝ

Κατά την κρυπτογράφηση, το LockBeast προσθέτει ένα αναγνωριστικό συγκεκριμένο για το θύμα και την επέκταση '.lockbeast' στα στοχευμένα αρχεία. Για παράδειγμα, το '1.png' γίνεται '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast' και το '2.pdf' γίνεται '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast.' Αυτό το μοτίβο επιτρέπει στους εισβολείς να παρακολουθούν μεμονωμένα θύματα και να επιβεβαιώνουν την πληρωμή πριν παρέχουν οποιαδήποτε δυνατότητα αποκρυπτογράφησης. Η ρουτίνα κρυπτογράφησης στοχεύει να καλύψει ένα ευρύ φάσμα τύπων δεδομένων, συμπεριλαμβανομένων εγγράφων, βάσεων δεδομένων, αρχείων, μέσων και αποθετηρίων πηγαίου κώδικα.

ΣΗΜΕΙΩΜΑ ΑΝΤΙΠΡΟΣΩΠΕΥΣΗΣ ΚΑΙ ΤΑΚΤΙΚΕΣ ΔΙΠΛΟΥ ΕΚΒΙΑΣΜΟΥ

Το σημείωμα 'README.TXT' υποστηρίζει ότι όλα τα σημαντικά αρχεία δεν είναι διαθέσιμα και ισχυρίζεται ότι έγινε διαρροή ευαίσθητων αρχείων, όπως ιστορικού συναλλαγών, προσωπικών δεδομένων πελατών, στοιχείων καρτών πληρωμής και υπολοίπων λογαριασμών, στην υποδομή του εισβολέα. Το σημείωμα παρέχει στοιχεία επικοινωνίας μέσω messenger που εστιάζουν στην προστασία της ιδιωτικής ζωής (Session και Tox), προειδοποιεί για τη μετονομασία αρχείων ή τη χρήση αποκρυπτογραφητών τρίτων και ορίζει προθεσμία επτά ημερών πριν από την υποτιθέμενη δημοσίευση δεδομένων. Αυτό συνδυάζει τον κλασικό εκβιασμό με κρυπτογράφηση αρχείων με απειλές δημόσιας διαρροής για την αύξηση της πίεσης. Η πληρωμή παραμένει επικίνδυνη: δεν υπάρχει εγγύηση για την αποκρυπτογράφηση που θα λειτουργήσει, την πλήρη ανάκτηση δεδομένων ή τη διαγραφή κλεμμένων πληροφοριών, ακόμη και αν σταλούν λύτρα.

ΑΡΧΙΚΑ ΔΙΑΝΥΣΜΑΤΑ ΠΡΟΣΒΑΣΗΣ ΚΑΙ ΔΙΑΝΟΜΗΣ

Οι παρατηρούμενες και οι πιθανές μέθοδοι παράδοσης ευθυγραμμίζονται με κοινές επιχειρήσεις ransomware. Οι απειλητικοί παράγοντες σπέρνουν μολύνσεις μέσω κακόβουλων συνημμένων ή συνδέσμων email, λογισμικού και keygens που έχουν μολυνθεί με trojan ή έχουν παραβιαστεί, απάτες «υποστήριξης» κοινωνικής μηχανικής και εκμετάλλευσης τρωτών σημείων που δεν έχουν διορθωθεί. Πρόσθετες οδοί περιλαμβάνουν ανακατευθύνσεις drive-by ή κακόβουλης διαφήμισης, προγράμματα λήψης τρίτων, παραβιασμένους ή παρόμοιους ιστότοπους, μολυσμένα αφαιρούμενα μέσα και κοινή χρήση αρχείων peer-to-peer. Η εκτέλεση ξεκινά συχνά όταν ένας χρήστης ανοίγει ένα εκτελέσιμο αρχείο, αρχείο, έγγραφο του Office ή PDF ή δέσμη ενεργειών που έχει παγιδευτεί.

ΟΔΗΓΙΕΣ ΠΕΡΙΟΡΙΣΜΟΥ ΚΑΙ ΕΞΑΛΕΙΨΗΣ

Εάν υπάρχει υποψία ότι το LockBeast έχει μολύνει το σύστημα, δράστε αμέσως. Απομονώστε τα μολυσμένα μηχανήματα από το δίκτυο (ενσύρματα και ασύρματα) για να αποτρέψετε περαιτέρω κρυπτογράφηση και πλευρική εξάπλωση. Απενεργοποιήστε τους κοινόχρηστους δίσκους και ανακαλέστε ύποπτα διακριτικά πρόσβασης ή περιόδους σύνδεσης. Διατηρήστε τα ασταθή αντικείμενα και τα αρχεία καταγραφής για εγκληματολογία και, στη συνέχεια, αφαιρέστε το κακόβουλο λογισμικό χρησιμοποιώντας μια αξιόπιστη, πλήρως ενημερωμένη λύση ασφαλείας ή ένα γνωστό και καλό περιβάλλον απόκρισης περιστατικών. Πραγματοποιήστε επαναφορά μόνο από καθαρά, αντίγραφα ασφαλείας εκτός σύνδεσης αφού επιβεβαιώσετε ότι η απειλή έχει εξαλειφθεί. Διαφορετικά, η επαναμόλυνση μπορεί να κρυπτογραφήσει ξανά τα αποκατεστημένα δεδομένα.

ΑΝΑΚΑΤΑΣΤΑΣΗ ΚΑΙ ΕΠΙΔΡΑΣΗ ΣΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ

Η αποκρυπτογράφηση χωρίς τα εργαλεία των εισβολέων συνήθως δεν είναι εφικτή, εκτός εάν υπάρχουν αντίγραφα ασφαλείας. Δώστε προτεραιότητα στην αποκατάσταση των πιο κρίσιμων υπηρεσιών από αμετάβλητα ή offline στιγμιότυπα. Αντιμετωπίστε κάθε ισχυρισμό για αποκρυπτογράφηση ως αξιόπιστο μέχρι να αποδειχθεί το αντίθετο: αξιολογήστε ποια δεδομένα ενδέχεται να έχουν εκτεθεί, προετοιμάστε ειδοποιήσεις εάν απαιτείται από το νόμο ή τη σύμβαση και παρακολουθήστε για τυχόν κατάχρηση (π.χ., απάτη κατά πελατών).

ΣΗΜΕΙΑ ΑΠΟΦΑΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΛΗΡΩΜΗ

Ενώ κάθε περιστατικό έχει μοναδικές λειτουργικές και νομικές παραμέτρους, η καταβολή λύτρων χρηματοδοτεί εγκληματική δραστηριότητα και δεν προσφέρει καμία εγγύηση πλήρους ανάκτησης ή μη αποκάλυψης δεδομένων. Εξετάστε πρώτα εναλλακτικές λύσεις: αποκατάσταση από αντίγραφα ασφαλείας, μερική ανακατασκευή δεδομένων και μέτρα προστασίας πελατών.

ΣΥΜΠΕΡΑΣΜΑ

Το LockBeast συνδυάζει την επιθετική κρυπτογράφηση με απειλές διαρροής δεδομένων για να εξαναγκάσει τα θύματα. Η ταχεία απομόνωση, η πειθαρχημένη εξάλειψη και τα αξιόπιστα αντίγραφα ασφαλείας εκτός σύνδεσης είναι κρίσιμα για την ανάκαμψη. Μακροπρόθεσμα, οι οργανισμοί που επενδύουν σε ενημερώσεις κώδικα, λιγότερα προνόμια, ισχυρούς ελέγχους email και ιστού και ρεαλιστική ετοιμότητα για περιστατικά μειώνουν δραματικά τόσο την πιθανότητα όσο και τον αντίκτυπο των συμβάντων ransomware.

Μηνύματα

Τα ακόλουθα μηνύματα που σχετίζονται με το LockBeast Ransomware βρέθηκαν:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.