Multi-License Discount Quote
Database delle minacce Ransomware LukaLocker ransomware

LukaLocker ransomware

Entro Mezo nel Ransomware
Traduci in:
Italiano

Un nuovo attore di ransomware che impiega tattiche di doppia estorsione è emerso con una serie di attacchi in un breve periodo. Questa entità introduce un innovativo malware locker denominato LukaLocker Ransomware, dotato di varie tecniche di evasione per offuscare le sue operazioni e ostacolare le indagini forensi. Identificato dai ricercatori come il "Volcano Demon", un gruppo di criminali informatici ha attirato l'attenzione per il suo nuovo utilizzo di LukaLocker, un malware per armadietti mai visto prima. Ai file crittografati da questa minaccia viene aggiunta l'estensione ".nba".

Tattiche osservate negli attacchi dei demoni del vulcano

Gli aggressori utilizzano metodi di evasione sofisticati, come l’implementazione di soluzioni minime di registrazione e monitoraggio delle vittime prima di avviare gli attacchi. Inoltre, utilizzano telefonate "minacciose" da numeri "No Caller ID" per costringere le vittime a pagare un riscatto o a negoziare i termini.

Prima dello sfruttamento, i registri vengono sistematicamente cancellati, impedendo un’analisi forense completa degli incidenti rilevati. Il gruppo noto come Volcano Demon si astiene dal mantenere un sito di perdita nonostante utilizzi tattiche di doppia estorsione durante le sue operazioni.

Durante i loro assalti, il Volcano Demon utilizza credenziali amministrative compromesse ottenute dalle reti delle vittime per introdurre una variante Linux di LukaLocker. Questo malware crittografa efficacemente sia le workstation che i server Windows. Prima di distribuire il ransomware, gli aggressori esfiltrano i dati sul loro server di comando e controllo (C2), migliorando la loro influenza negli scenari di doppia estorsione.

Alle vittime viene chiesto di comunicare tramite il software di messaggistica qTox e di attendere di essere richiamate per ricevere supporto tecnico, complicando gli sforzi per tracciare le comunicazioni tra gli aggressori e le vittime.

Il ransomware LukaLocker termina il software di sicurezza e blocca i dati

Il ransomware LukaLocker è stato scoperto nel giugno 2024 come binario x64 PE sviluppato in C++. Secondo i ricercatori, utilizza l'offuscamento API e la risoluzione API dinamica per oscurare le sue operazioni dannose, eludendo il rilevamento, l'analisi e il reverse engineering. Il ransomware utilizza la crittografia Chacha8 per crittografare i dati in blocco. Genera una chiave Chacha8 casuale e un nonce utilizzando l'algoritmo di accordo chiave Diffie-Hellman (ECDH) con curva ellittica su Curve25519. I file possono essere crittografati interamente o con percentuali diverse, ad esempio 50%, 20% o 10%.

Al momento dell'esecuzione, a meno che non venga specificato "--sd-killer-off", LukaLocker interrompe tempestivamente diversi servizi critici di sicurezza e monitoraggio sulla rete. Questi includono strumenti anti-malware e di protezione degli endpoint, soluzioni di backup e ripristino, software di database di Microsoft, IBM e Oracle, Microsoft Exchange Server, software di virtualizzazione e strumenti di accesso e monitoraggio remoto. Termina inoltre i processi relativi ai browser Web, Microsoft Office e varie applicazioni cloud e di accesso remoto.

Come proteggere meglio i tuoi dati e dispositivi dalle minacce ransomware?

Per proteggere meglio i tuoi dati e i tuoi dispositivi da ransomware e minacce malware, prendi in considerazione l'implementazione delle seguenti pratiche:

  • KeeYour Applications Updated : aggiorna regolarmente il tuo sistema operativo, le tue applicazioni e il software di sicurezza per correggere le vulnerabilità che potrebbero essere sfruttate dal malware.
  • Utilizza password complesse e univoche : utilizza password complesse e modificale frequentemente. Considera la possibilità di trovare un gestore di password per tenerne traccia in modo sicuro.
  • Abilita l'autenticazione a più fattori (MFA) : aggiungi un ulteriore livello di sicurezza abilitando l'MFA sugli account che la supportano, rendendo più difficile per gli aggressori ottenere l'accesso non autorizzato.
  • Backup regolare dei dati : crea e mantieni backup regolari di file importanti. Archivia i backup in una posizione separata, offline o nel cloud, per garantirne la sicurezza anche se il tuo sistema principale è compromesso.
  • Sii prudente con e-mail e collegamenti : evita di aprire allegati o seguire collegamenti da fonti sconosciute o sospette. Verifica l'identità del mittente prima di interagire con e-mail inaspettate.
  • Installa e mantieni il software di sicurezza : utilizza un software antimalware affidabile e mantienilo aggiornato. Abilita la protezione in tempo reale ed esegui scansioni regolari.
  • Proteggi la tua rete : utilizza una password Wi-Fi complessa e unica e abilita la crittografia WPA3. Prendi in considerazione la creazione di una rete ospite per i visitatori per mantenere sicura la tua rete principale.
  • Disabilita macro nei documenti di Office : disabilita le macro nei documenti di Microsoft Office a meno che non siano specificatamente necessarie. Le macro sono un metodo comune per diffondere malware.
  • Informa te stesso e gli altri : tieniti informato sulle ultime minacce alla sicurezza informatica e sulle migliori pratiche. Istruire i familiari o i colleghi sulle tattiche di phishing e sul comportamento online sicuro.
  • Utilizza firewall : attiva i firewall sui tuoi dispositivi e sulla tua rete per bloccare l'accesso non autorizzato e monitorare il traffico in entrata e in uscita per attività sospette.

Combinando queste strategie, il rischio di cadere vittima di ransomware e altre minacce malware può essere ridotto drasticamente.

Tendenza

I più visti

Caricamento in corso...