LukaLocker Ransomware

שחקן חדש של תוכנות כופר שמשתמש בטקטיקות סחיטה כפולה הופיע עם סדרה של התקפות בתוך תקופה קצרה. ישות זו מציגה תוכנת זדונית חדשנית לוקר המכונה LukaLocker Ransomware, המצוידת בטכניקות התחמקות שונות כדי לטשטש את פעולותיה ולהפריע לחקירות משפטיות. קבוצת פושעי סייבר שזוהתה על ידי החוקרים כ'שד הגעש', משכה תשומת לב בזכות השימוש החדש שלה ב-LukaLocker, שהיה תוכנה זדונית שלא נראתה בעבר. הקבצים המוצפנים על ידי איום זה מצורפים עם סיומת '.nba'.

טקטיקות שנצפו בהתקפות שד הגעש

התוקפים מפעילים שיטות התחמקות מתוחכמות, כמו פריסת רישום ופתרונות ניטור מינימליים של קורבנות לפני תחילת התקפות. בנוסף, הם משתמשים בשיחות טלפון 'מאיימות' ממספרי 'ללא זיהוי מתקשר' כדי לכפות על קורבנות לשלם כופר או לנהל משא ומתן.

לפני הניצול, יומנים מנוקים באופן שיטתי, מה שמונע ניתוח משפטי מקיף בתקריות שזוהו. הקבוצה המכונה שד הגעש, נמנעת מלשמור על אתר דליפה למרות שהפעילה טקטיקות סחיטה כפולה במהלך פעילותה.

במהלך ההתקפות שלהם, שד הגעש משתמש באישורים ניהוליים שנפגעו מרשתות קורבנות כדי להציג גרסת לינוקס של LukaLocker. תוכנה זדונית זו מצפינה ביעילות הן תחנות עבודה ושרתים של Windows. לפני פריסת תוכנת כופר, התוקפים מסננים נתונים לשרת הפקודה והבקרה שלהם (C2), ומשפרים את המינוף שלהם בתרחישי סחיטה כפולים.

הקורבנות מקבלים הוראה לתקשר באמצעות תוכנת הודעות qTox ולהמתין להתקשרות חוזרת לתמיכה טכנית, מה שמקשה על המאמצים להתחקות אחר התקשורת בין התוקפים לקורבנות.

תוכנת הכופר של LukaLocker מפסיקה תוכנת אבטחה ונועלת נתונים

תוכנת הכופר של LukaLocker התגלתה ביוני 2024 כ-X64 PE בינארי שפותח ב-C++. לדברי חוקרים, היא משתמשת בערפול API ורזולוציית API דינמית כדי לטשטש את הפעולות הפוגעות שלה, תוך התחמקות מגילוי, ניתוח והנדסה לאחור. תוכנת הכופר משתמשת בצופן Chacha8 להצפנת נתונים בכמות גדולה. הוא יוצר מפתח Chacha8 אקראי ולא פעם באמצעות אלגוריתם הסכם מפתח של Diffie-Hellman (ECDH) עם עקומה אליפטית על פני Curve25519. קבצים יכולים להיות מוצפנים במלואם או באחוזים שונים, כגון 50%, 20% או 10%.

עם הביצוע, אלא אם צוין '--sd-killer-off', LukaLocker מפסיק מיידית מספר שירותי אבטחה וניטור קריטיים ברחבי הרשת. אלה כוללים כלים נגד תוכנות זדוניות והגנה על נקודות קצה, פתרונות גיבוי ושחזור, תוכנות מסד נתונים מ-Microsoft, IBM ו-Oracle, Microsoft Exchange Server, תוכנות וירטואליזציה וכלי גישה וניטור מרחוק. זה גם מפסיק תהליכים הקשורים לדפדפני אינטרנט, Microsoft Office ויישומי ענן וגישה מרחוק שונים.

כיצד להגן טוב יותר על הנתונים והמכשירים שלך מפני איומי כופר?

כדי להגן טוב יותר על הנתונים והמכשירים שלך מפני איומי כופר ותוכנות זדוניות, שקול ליישם את השיטות הבאות:

• KeeYour Applications Updated : עדכן באופן קבוע את מערכת ההפעלה, היישומים ותוכנות האבטחה שלך כדי לתקן נקודות תורפה שעלולות להיות מנוצלות על ידי תוכנות זדוניות.
• השתמש בסיסמאות חזקות וייחודיות : השתמש בסיסמאות מורכבות והחלף אותן לעתים קרובות. שקול למצוא מנהל סיסמאות כדי לעקוב אחריהם בצורה מאובטחת.
• אפשר אימות רב-גורמי (MFA) : הוסף שכבת אבטחה נוספת על ידי הפעלת MFA בחשבונות התומכים בו, מה שמקשה על התוקפים לקבל גישה לא מורשית.
• גיבוי נתונים באופן קבוע : צור ותחזק גיבויים קבועים של קבצים חשובים. אחסן גיבויים במיקום נפרד, לא מקוון או בענן, כדי להבטיח את בטיחותם גם אם המערכת הראשית שלך נפגעת.
• היה זהיר עם הודעות דוא"ל וקישורים : הימנע מפתיחת קבצים מצורפים או מעקב אחר קישורים ממקורות לא ידועים או חשודים. אמת את זהות השולח לפני אינטראקציה עם אימיילים בלתי צפויים.
• התקן ותחזק תוכנת אבטחה : השתמש בתוכנה אנטי-זדונית מוכרת ושמור אותה מעודכנת. אפשר הגנה בזמן אמת והפעל סריקות רגילות.
• אבטח את הרשת שלך : השתמש בסיסמת Wi-Fi חזקה וייחודית והפעל הצפנת WPA3. שקול להקים רשת אורחים למבקרים כדי לשמור על אבטחת הרשת הראשית שלך.
• השבת פקודות מאקרו במסמכי Office : השבת פקודות מאקרו במסמכי Microsoft Office אלא אם כן אתה זקוק להן באופן ספציפי. מאקרו הם שיטה נפוצה להפצת תוכנות זדוניות.
• למד את עצמך ואחרים : הישאר מעודכן לגבי איומי אבטחת הסייבר העדכניים ביותר ושיטות עבודה מומלצות. למד בני משפחה או עמיתים על טקטיקות דיוג והתנהגות מקוונת בטוחה.
• השתמש בחומת אש : אפשר חומות אש במכשירים וברשת שלך כדי לחסום גישה לא מורשית ולנטר תעבורה נכנסת ויוצאת לאיתור פעילות חשודה.

על ידי שילוב של אסטרטגיות אלו, ניתן להפחית באופן דרסטי את הסיכון ליפול קורבן לתוכנות כופר ואיומים אחרים של תוכנות זדוניות.