LukaLocker Ransomware

Egy új, kettős zsarolási taktikát alkalmazó zsarolóvírus-szereplő bukkant fel rövid időn belül támadássorozattal. Ez az entitás a LukaLocker Ransomware névre keresztelt innovatív tárolóhelyi rosszindulatú programot vezet be, amely különféle kijátszási technikákkal van felszerelve, hogy elhomályosítsa működését és akadályozza a törvényszéki vizsgálatokat. A kutatók által „Vulkándémonként” azonosított kiberbűnözői csoport a LukaLocker újszerű felhasználásával hívta fel magára a figyelmet, amely korábban nem látott szekrénykártevő volt. A fenyegetés által titkosított fájlok az „.nba” kiterjesztéssel vannak hozzáfűzve.

A vulkán démon támadásai során megfigyelt taktika

A támadók kifinomult kijátszási módszereket alkalmaznak, például minimális áldozatnaplózási és megfigyelési megoldásokat telepítenek a támadások megkezdése előtt. Ezenkívül „fenyegető” telefonhívásokat használnak „nincs hívóazonosító” számokról, hogy váltságdíj fizetésére vagy tárgyalási feltételekre kényszerítsék az áldozatokat.

A hasznosítás előtt a naplókat szisztematikusan törlik, ami akadályozza az észlelt események átfogó kriminalisztikai elemzését. A Vulkándémon néven ismert csoport tartózkodik attól, hogy fenntartson egy szivárgási helyet annak ellenére, hogy működése során kettős zsarolási taktikát alkalmaz.

Támadásaik során a Volcano Demon felhasználja az áldozathálózatoktól szerzett feltört adminisztrációs hitelesítő adatokat, hogy bemutassa a LukaLocker Linux változatát. Ez a rosszindulatú program hatékonyan titkosítja mind a Windows-munkaállomásokat, mind a szervereket. A zsarolóprogramok telepítése előtt a támadók kiszűrik az adatokat a Command-and-Control szerverükre (C2), növelve ezzel a kettős zsarolási forgatókönyvek befolyását.

Az áldozatokat arra utasítják, hogy a qTox üzenetküldő szoftveren keresztül kommunikáljanak, és várják a visszahívásokat technikai támogatásért, ami megnehezíti a támadók és az áldozatok közötti kommunikáció nyomon követését.

A LukaLocker Ransomware megszünteti a biztonsági szoftvert és zárolja az adatokat

A LukaLocker Ransomware-t 2024 júniusában fedezték fel C++ nyelven kifejlesztett x64 PE binárisként. A kutatók szerint API homályosítást és dinamikus API-felbontást alkalmaz, hogy eltakarja káros műveleteit, elkerülve az észlelést, az elemzést és a visszafejtést. A zsarolóprogram a Chacha8 titkosítást használja az adatok tömeges titkosításához. Véletlenszerű Chacha8 kulcsot és nonce-t generál az elliptikus görbe Diffie-Hellman (ECDH) kulcsegyeztetési algoritmusával a Curve25519 felett. A fájlok titkosíthatók teljesen vagy különböző százalékban, például 50%, 20% vagy 10%.

Végrehajtáskor, hacsak nincs megadva az '--sd-killer-off', a LukaLocker azonnal leállít néhány kritikus biztonsági és megfigyelési szolgáltatást a hálózaton. Ide tartoznak a kártevőirtó és végpontvédelmi eszközök, biztonsági mentési és helyreállítási megoldások, a Microsoft, az IBM és az Oracle adatbázisszoftverei, a Microsoft Exchange Server, a virtualizációs szoftverek, valamint a távelérési és felügyeleti eszközök. Ezenkívül leállítja a webböngészőkkel, a Microsoft Office-szal és a különféle felhő- és távoli elérési alkalmazásokkal kapcsolatos folyamatokat.

Hogyan védheti jobban adatait és eszközeit a zsarolóvírus-fenyegetések ellen?

Annak érdekében, hogy jobban megvédje adatait és eszközeit a zsarolóprogramokkal és rosszindulatú programokkal szemben, fontolja meg a következő gyakorlatok végrehajtását:

• Tartsa frissítve az alkalmazásokat : Rendszeresen frissítse operációs rendszerét, alkalmazásait és biztonsági szoftvereit, hogy javítsa a rosszindulatú programok által kihasználható sebezhetőségeket.
• Erős, egyedi jelszavak használata : Alkalmazzon összetett jelszavakat, és gyakran változtassa meg azokat. Fontolja meg a jelszókezelő keresését, hogy biztonságosan nyomon követhesse őket.
• Multi-Factor Authentication (MFA) engedélyezése : További biztonsági réteget biztosít az MFA engedélyezésével az azt támogató fiókokon, megnehezítve a támadók számára az illetéktelen hozzáférést.
• Rendszeresen készítsen biztonsági másolatot az adatokról : Készítsen és tartson rendszeres biztonsági másolatot a fontos fájlokról. Tárolja a biztonsági másolatokat egy külön helyen, akár offline, akár felhőben, hogy garantálja a biztonságukat akkor is, ha a fő rendszer veszélybe kerül.
• Legyen körültekintő az e-mailekkel és linkekkel : Kerülje az ismeretlen vagy gyanús forrásból származó mellékletek megnyitását vagy hivatkozások követését. A váratlan e-mailek kezelése előtt ellenőrizze a feladó személyazonosságát.
• Biztonsági szoftver telepítése és karbantartása : Használjon jó hírű kártevőirtó szoftvert, és tartsa naprakészen. Engedélyezze a valós idejű védelmet, és futtasson rendszeres vizsgálatokat.
• Biztonságos hálózat : Használjon erős, egyedi Wi-Fi jelszót, és engedélyezze a WPA3 titkosítást. Fontolja meg vendéghálózat létrehozását a látogatók számára az elsődleges hálózat biztonságának megőrzése érdekében.
• Makrók letiltása az Office dokumentumokban : Tiltsa le a makrókat a Microsoft Office dokumentumokban, hacsak nincs rájuk kifejezetten szüksége. A makrók a rosszindulatú programok terjesztésének gyakori módszerei.
• Saját és mások oktatása : Legyen tájékozott a legújabb kiberbiztonsági fenyegetésekről és a bevált gyakorlatokról. Tájékoztassa családtagjait vagy kollégáit az adathalász taktikákról és a biztonságos online viselkedésről.
• Tűzfalak használata : Engedélyezze a tűzfalakat az eszközökön és a hálózaton, hogy blokkolja a jogosulatlan hozzáférést, és figyelje a bejövő és kimenő forgalmat a gyanús tevékenységek miatt.

E stratégiák kombinálásával drasztikusan csökkenthető a ransomware és más rosszindulatú programok áldozatává válásának kockázata.