Perisian Ransomware LockBeast

Menjelang Mezo pada Perisian tebusan

Terjemahkan ke

Ransomware kekal sebagai salah satu ancaman siber yang paling mengganggu untuk organisasi dan pengguna rumah. Satu pencerobohan yang berjaya mungkin mengunci data kritikal perniagaan, menghentikan operasi dan mencetuskan tindak balas insiden yang mahal dan usaha pemulihan. Membina pertahanan berlapis dan kesediaan tindak balas sebelum wabak adalah perbezaan antara peristiwa terkawal dan krisis.

RINGKASAN ANCAMAN

Setelah LockBeast Ransomware dilaksanakan, ia menyulitkan data pengguna, mengubah suai nama fail untuk membenamkan pengecam mangsa dan menjatuhkan nota tebusan bertajuk 'README.TXT.' Pengendali menggabungkan penyulitan dengan kecurian data untuk menekan mangsa supaya membayar, mengancam untuk membocorkan maklumat sensitif jika hubungan tidak diwujudkan dalam tetingkap yang ditetapkan.

ENCRIPSI DAN ALIRAN KERJA PENAMAIAN FAIL

Semasa penyulitan, LockBeast menambahkan kedua-dua ID khusus mangsa dan sambungan '.lockbeast' pada fail yang disasarkan. Sebagai contoh, '1.png' menjadi '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast,' dan '2.pdf' menjadi '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2B5}. Corak ini membolehkan penyerang menjejaki mangsa individu dan mengesahkan pembayaran sebelum menyediakan sebarang keupayaan penyahsulitan. Rutin penyulitan bertujuan untuk merangkumi pelbagai jenis data, termasuk dokumen, pangkalan data, arkib, media dan repositori kod sumber.

NOTA TEBUAN DAN TAKTIK PEREMPUAN BERGANDA

Nota 'README.TXT' menegaskan bahawa semua fail penting tidak tersedia dan menuntut penyingkiran rekod sensitif, seperti sejarah transaksi, PII pelanggan, butiran kad pembayaran dan baki akaun, kepada infrastruktur penyerang. Nota itu menyediakan butiran hubungan melalui pemesej yang memfokuskan privasi (Sesi dan Tox), memberi amaran terhadap menamakan semula fail atau menggunakan penyahsulit pihak ketiga dan menetapkan tarikh akhir tujuh hari sebelum penerbitan data yang dikatakan. Ini menggabungkan peras ugut penyulitan fail klasik dengan ancaman kebocoran awam untuk meningkatkan tekanan. Membayar tetap berisiko: tiada jaminan penyahsulitan berfungsi, pemulihan data lengkap atau pemadaman maklumat yang dicuri walaupun wang tebusan dihantar.

AKSES AWAL DAN VEKTOR AGIHAN

Kaedah penghantaran yang diperhatikan dan berkemungkinan sejajar dengan operasi perisian tebusan biasa. Aktor ancaman menimbulkan jangkitan melalui lampiran atau pautan e-mel berniat jahat, perisian trojan atau cetak rompak dan keygen, penipuan 'sokongan' kejuruteraan sosial dan eksploitasi kelemahan yang tidak ditambal. Laluan tambahan termasuk ubah hala drive-by atau malvertising, pemuat turun pihak ketiga, tapak web yang terjejas atau serupa, media boleh alih yang dijangkiti dan perkongsian fail rakan ke rakan. Pelaksanaan selalunya bermula apabila pengguna membuka dokumen atau skrip boleh laku, arkib, Pejabat atau PDF yang terperangkap samar.

BIMBINGAN PENGENDALIAN DAN PEMBASMIAN

Jika LockBeast disyaki telah menjangkiti sistem, bertindak segera. Asingkan mesin yang terjejas daripada rangkaian (berwayar dan tanpa wayar) untuk mengelakkan penyulitan lanjut dan penyebaran sisi. Lumpuhkan drive kongsi dan batalkan token atau sesi akses yang mencurigakan. Simpan artifak dan log yang tidak menentu untuk forensik, kemudian alih keluar perisian hasad menggunakan penyelesaian keselamatan yang dipercayai dan dikemas kini sepenuhnya atau persekitaran tindak balas insiden yang diketahui baik. Hanya pulihkan daripada sandaran luar talian yang bersih selepas mengesahkan ancaman dihapuskan; jika tidak, jangkitan semula mungkin menyulitkan semula data yang dipulihkan.

PEMULIHAN DAN IMPAK PERNIAGAAN

Penyahsulitan tanpa alat penyerang biasanya tidak dapat dilaksanakan melainkan sandaran wujud. Utamakan pemulihan perkhidmatan yang paling kritikal daripada syot kilat tidak berubah atau luar talian. Anggap sebarang tuntutan exfiltration sebagai boleh dipercayai sehingga dibuktikan sebaliknya: menilai data yang mungkin telah didedahkan, sediakan pemberitahuan jika dikehendaki oleh undang-undang atau kontrak dan pantau penyalahgunaan (cth, penipuan terhadap pelanggan).

MATA KEPUTUSAN MENGENAI MEMBAYAR

Walaupun setiap insiden mempunyai pertimbangan operasi dan undang-undang yang unik, membayar wang tebusan membiayai aktiviti jenayah dan tidak menawarkan jaminan pemulihan data penuh atau tidak didedahkan. Pertimbangkan alternatif dahulu: pemulihan daripada sandaran, pembinaan semula data separa dan langkah perlindungan pelanggan.

GARIS BAWAH

LockBeast menggabungkan penyulitan agresif dengan ancaman kebocoran data untuk memaksa mangsa. Pengasingan pantas, pembasmian berdisiplin dan sandaran luar talian yang boleh dipercayai adalah penting untuk pemulihan. Dalam jangka panjang, organisasi yang melabur dalam menampal, keistimewaan paling rendah, kawalan e-mel dan web yang mantap serta kesediaan insiden yang realistik secara mendadak mengurangkan kemungkinan dan kesan peristiwa perisian tebusan.

Mesej

Mesej berikut yang dikaitkan dengan Perisian Ransomware LockBeast ditemui:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.