LukaLocker-ransomware
Er is een nieuwe ransomware-acteur opgedoken die dubbele afpersingstactieken toepast met een reeks aanvallen binnen een korte periode. Deze entiteit introduceert een innovatieve locker-malware genaamd de LukaLocker Ransomware, uitgerust met verschillende ontwijkingstechnieken om de activiteiten ervan te verdoezelen en forensisch onderzoek te belemmeren. Een cybercriminele groep, door onderzoekers geïdentificeerd als de 'Volcano Demon', heeft de aandacht getrokken vanwege het nieuwe gebruik van de LukaLocker, een voorheen onzichtbare locker-malware. De bestanden die door deze dreiging zijn gecodeerd, krijgen de extensie '.nba'.
Inhoudsopgave
Tactiek waargenomen bij de vulkaandemonaanvallen
De aanvallers maken gebruik van geavanceerde ontwijkingsmethoden, zoals het inzetten van minimale slachtofferregistratie en monitoringoplossingen voordat ze aanvallen starten. Bovendien maken ze gebruik van 'bedreigende' telefoontjes vanaf 'No Caller ID'-nummers om slachtoffers te dwingen losgeld te betalen of over voorwaarden te onderhandelen.
Voorafgaand aan de exploitatie worden logboeken systematisch gewist, waardoor uitgebreide forensische analyse van gedetecteerde incidenten wordt belemmerd. De groep die bekend staat als de Volcano Demon, onthoudt zich van het onderhouden van een leklocatie, ondanks het gebruik van dubbele afpersingstactieken tijdens haar operaties.
Tijdens hun aanvallen gebruikt de Volcano Demon gecompromitteerde administratieve inloggegevens verkregen van slachtoffernetwerken om een Linux-variant van LukaLocker te introduceren. Deze malware versleutelt effectief zowel Windows-werkstations als -servers. Voordat ze ransomware inzetten, exfiltreren de aanvallers gegevens naar hun Command-and-Control-server (C2), waardoor hun invloed in dubbele afpersingsscenario's wordt vergroot.
Slachtoffers krijgen de opdracht om te communiceren via qTox-berichtensoftware en te wachten op terugbelverzoeken voor technische ondersteuning, wat de pogingen om de communicatie tussen de aanvallers en slachtoffers te traceren bemoeilijkt.
De LukaLocker Ransomware beëindigt beveiligingssoftware en vergrendelt gegevens
De LukaLocker Ransomware werd in juni 2024 ontdekt als een x64 PE-binair bestand, ontwikkeld in C++. Volgens onderzoekers maakt het gebruik van API-verduistering en dynamische API-resolutie om de schadelijke activiteiten te verdoezelen en detectie, analyse en reverse engineering te omzeilen. De ransomware gebruikt het Chacha8-cijfer voor het versleutelen van gegevens in bulk. Het genereert een willekeurige Chacha8-sleutel en nonce met behulp van het Elliptic-curve Diffie-Hellman (ECDH) sleutelovereenkomstalgoritme via Curve25519. Bestanden kunnen volledig of met verschillende percentages worden gecodeerd, zoals 50%, 20% of 10%.
Bij uitvoering beëindigt LukaLocker, tenzij '--sd-killer-off' is gespecificeerd, onmiddellijk verschillende kritieke beveiligings- en monitoringdiensten over het netwerk. Deze omvatten antimalware- en eindpuntbeschermingstools, back-up- en hersteloplossingen, databasesoftware van Microsoft, IBM en Oracle, Microsoft Exchange Server, virtualisatiesoftware en tools voor externe toegang en monitoring. Het beëindigt ook processen die verband houden met webbrowsers, Microsoft Office en verschillende cloud- en externe toegangstoepassingen.
Hoe kunt u uw gegevens en apparaten beter beschermen tegen ransomware-bedreigingen?
Om uw gegevens en apparaten beter te beschermen tegen ransomware- en malwarebedreigingen, kunt u overwegen de volgende werkwijzen te implementeren:
- Houd uw applicaties bijgewerkt : werk uw besturingssysteem, applicaties en beveiligingssoftware regelmatig bij om kwetsbaarheden te patchen die door malware kunnen worden uitgebuit.
- Gebruik sterke, unieke wachtwoorden : gebruik complexe wachtwoorden en wijzig deze regelmatig. Overweeg een wachtwoordbeheerder te vinden om ze veilig bij te houden.
- Schakel Multi-Factor Authenticatie (MFA) in : Voeg een extra beveiligingslaag toe door MFA in te schakelen op accounts die dit ondersteunen, waardoor het voor aanvallers moeilijker wordt om ongeautoriseerde toegang te verkrijgen.
- Regelmatig back-ups maken van gegevens : maak en onderhoud regelmatig back-ups van belangrijke bestanden. Bewaar back-ups op een aparte locatie, offline of in de cloud, om de veiligheid ervan te garanderen, zelfs als uw hoofdsysteem in gevaar is.
- Wees voorzichtig met e-mails en links : Vermijd het openen van bijlagen of het volgen van links van onbekende of verdachte bronnen. Controleer de identiteit van de afzender voordat u met onverwachte e-mails communiceert.
- Beveiligingssoftware installeren en onderhouden : Gebruik gerenommeerde anti-malwaresoftware en houd deze up-to-date. Schakel realtime bescherming in en voer regelmatig scans uit.
- Beveilig uw netwerk : gebruik een sterk, uniek Wi-Fi-wachtwoord en schakel WPA3-codering in. Overweeg om een gastnetwerk voor bezoekers op te zetten om uw primaire netwerk veilig te houden.
- Schakel macro's uit in Office-documenten : schakel macro's uit in Microsoft Office-documenten, tenzij u ze specifiek nodig hebt. Macro's zijn een veelgebruikte methode voor het verspreiden van malware.
- Informeer uzelf en anderen : blijf op de hoogte van de nieuwste cyberbeveiligingsbedreigingen en best practices. Informeer familieleden of collega's over phishing-tactieken en veilig online gedrag.
- Gebruik firewalls : schakel firewalls op uw apparaten en netwerk in om ongeautoriseerde toegang te blokkeren en inkomend en uitgaand verkeer te controleren op verdachte activiteiten.
Door deze strategieën te combineren, kan het risico om slachtoffer te worden van ransomware en andere malwarebedreigingen drastisch worden verminderd.
