LukaLocker 랜섬웨어

이중 갈취 전술을 사용하는 새로운 랜섬웨어 공격자가 단기간에 일련의 공격을 가하며 등장했습니다. 이 개체는 LukaLocker 랜섬웨어라고 불리는 혁신적인 잠금 악성코드를 소개합니다. LukaLocker 랜섬웨어는 작업을 난독화하고 법의학 조사를 방해하는 다양한 회피 기술을 갖추고 있습니다. 연구원들에 의해 '화산 악마'로 식별된 사이버 범죄 그룹이 이전에 볼 수 없었던 락커 악성 코드인 LukaLocker를 기발하게 사용하여 주목을 받았습니다. 이 위협 요소로 암호화된 파일에는 '.nba' 확장자가 추가됩니다.

화산 악마 공격에서 관찰된 전술

공격자는 공격을 시작하기 전에 최소한의 피해자 로깅 및 모니터링 솔루션을 배포하는 등 정교한 회피 방법을 사용합니다. 또한 '발신자 번호 없음' 번호를 통한 '협박' 전화를 활용하여 피해자에게 몸값을 지불하거나 조건을 협상하도록 강요합니다.

악용되기 전에 로그가 체계적으로 삭제되므로 감지된 사고에 대한 포괄적인 포렌식 분석이 방해됩니다. 화산 악마(Volcano Demon)로 알려진 그룹은 작전 중 이중 강탈 전술을 사용함에도 불구하고 유출 사이트를 유지하지 않습니다.

공격 중에 Volcano Demon은 피해자 네트워크에서 얻은 손상된 관리 자격 증명을 활용하여 LukaLocker의 Linux 변형을 도입합니다. 이 악성 코드는 Windows 워크스테이션과 서버를 모두 효과적으로 암호화합니다. 공격자는 랜섬웨어를 배포하기 전에 C2(명령 및 제어) 서버로 데이터를 유출하여 이중 강탈 시나리오에서의 영향력을 강화합니다.

피해자는 qTox 메시징 소프트웨어를 통해 통신하고 기술 지원에 대한 콜백을 기다리도록 지시받으므로 공격자와 피해자 간의 통신을 추적하려는 노력이 복잡해집니다.

LukaLocker 랜섬웨어는 보안 소프트웨어를 종료하고 데이터를 잠급니다

LukaLocker 랜섬웨어는 C++로 개발된 x64 PE 바이너리로 2024년 6월에 발견되었습니다. 연구원에 따르면 API 난독화 및 동적 API 확인을 사용하여 유해한 작업을 모호하게 하고 탐지, 분석 및 리버스 엔지니어링을 회피합니다. 이 랜섬웨어는 데이터를 대량으로 암호화하기 위해 Chacha8 암호를 사용합니다. Curve25519를 통해 ECDH(Elliptic-curve Diffie-Hellman) 키 일치 알고리즘을 사용하여 임의의 Chacha8 키와 nonce를 생성합니다. 파일은 완전히 암호화되거나 50%, 20%, 10% 등 다양한 비율로 암호화될 수 있습니다.

실행 시 '--sd-killer-off'를 지정하지 않는 한 LukaLocker는 네트워크 전체에서 몇 가지 중요한 보안 및 모니터링 서비스를 즉시 종료합니다. 여기에는 맬웨어 방지 및 엔드포인트 보호 도구, 백업 및 복구 솔루션, Microsoft, IBM, Oracle의 데이터베이스 소프트웨어, Microsoft Exchange Server, 가상화 소프트웨어, 원격 액세스 및 모니터링 도구가 포함됩니다. 또한 웹 브라우저, Microsoft Office, 다양한 클라우드 및 원격 액세스 애플리케이션과 관련된 프로세스도 종료됩니다.

랜섬웨어 위협으로부터 데이터와 장치를 더 잘 보호하는 방법은 무엇입니까?

랜섬웨어 및 맬웨어 위협으로부터 데이터와 장치를 더 잘 보호하려면 다음 방법을 구현하는 것이 좋습니다.

• KeeYour 애플리케이션 업데이트 : 운영 체제, 애플리케이션 및 보안 소프트웨어를 정기적으로 업데이트하여 맬웨어에 의해 악용될 수 있는 취약점을 패치하세요.
• 강력하고 고유한 비밀번호 사용 : 복잡한 비밀번호를 사용하고 자주 변경하세요. 비밀번호를 안전하게 추적하려면 비밀번호 관리자를 찾아보세요.
• 다단계 인증(MFA) 활성화 : 이를 지원하는 계정에서 MFA를 활성화하여 추가 보안 계층을 추가하면 공격자가 무단 액세스를 얻는 것이 더 어려워집니다.
• 정기적으로 데이터 백업 : 중요한 파일의 정기적인 백업을 생성하고 유지합니다. 기본 시스템이 손상되더라도 안전을 보장하려면 오프라인이나 클라우드 등 별도의 위치에 백업을 저장하세요.
• 이메일과 링크에 주의하세요 . 출처가 알 수 없거나 의심스러운 첨부 파일을 열거나 링크를 따라가는 것을 피하세요. 예상치 못한 이메일에 연락하기 전에 보낸 사람의 신원을 확인하세요.
• 보안 소프트웨어 설치 및 유지 관리 : 평판이 좋은 맬웨어 방지 소프트웨어를 사용하고 최신 상태로 유지하세요. 실시간 보호를 활성화하고 정기적인 검사를 실행하세요.
• 네트워크 보안 : 강력하고 고유한 Wi-Fi 비밀번호를 사용하고 WPA3 암호화를 활성화하세요. 기본 네트워크를 안전하게 유지하려면 방문자를 위한 게스트 네트워크를 구축하는 것이 좋습니다.
• Office 문서에서 매크로 비활성화 : 특별히 필요한 경우가 아니면 Microsoft Office 문서에서 매크로를 비활성화합니다. 매크로는 악성코드를 확산시키는 일반적인 방법입니다.
• 자신과 다른 사람을 교육하십시오 . 최신 사이버 보안 위협과 모범 사례에 대한 최신 정보를 얻으십시오. 가족이나 동료에게 피싱 전술과 안전한 온라인 행동에 대해 교육하세요.
• 방화벽 사용 : 장치와 네트워크에서 방화벽을 활성화하여 무단 액세스를 차단하고 의심스러운 활동이 있는지 들어오고 나가는 트래픽을 모니터링합니다.

이러한 전략을 결합하면 랜섬웨어 및 기타 맬웨어 위협의 희생양이 될 위험을 대폭 줄일 수 있습니다.