Oprogramowanie ransomware LukaLocker

Wraz z serią ataków w krótkim czasie pojawił się nowy podmiot zajmujący się oprogramowaniem ransomware stosujący taktykę podwójnego wymuszenia. Podmiot ten wprowadza innowacyjne złośliwe oprogramowanie zamykające szafki, zwane LukaLocker Ransomware, wyposażone w różne techniki unikania w celu zaciemnienia jego działań i utrudnienia dochodzeń kryminalistycznych. Zidentyfikowana przez badaczy jako „Demon Wulkanu” grupa cyberprzestępcza zwróciła na siebie uwagę dzięki nowatorskiemu wykorzystaniu LukaLocker, który był wcześniej niewidzianym złośliwym oprogramowaniem do szafek. Pliki zaszyfrowane przez to zagrożenie mają rozszerzenie „.nba”.

Taktyka zaobserwowana podczas ataków demonów wulkanicznych

Osoby atakujące stosują wyrafinowane metody unikania zagrożeń, takie jak wdrażanie minimalnych rozwiązań w zakresie rejestrowania ofiar i monitorowania przed rozpoczęciem ataków. Ponadto wykorzystują „groźne” rozmowy telefoniczne z numerów „Brak identyfikacji dzwoniącego”, aby zmusić ofiary do zapłacenia okupu lub negocjowania warunków.

Przed wykorzystaniem logi są systematycznie czyszczone, co utrudnia kompleksową analizę kryminalistyczną wykrytych incydentów. Grupa znana jako Demon Wulkanu powstrzymuje się od utrzymywania miejsca wycieku, mimo że podczas swoich działań stosuje taktykę podwójnego wymuszenia.

Podczas swoich ataków Volcano Demon wykorzystuje naruszone dane administracyjne uzyskane z sieci ofiar, aby wprowadzić linuksową odmianę LukaLocker. Szkodnik ten skutecznie szyfruje zarówno stacje robocze, jak i serwery z systemem Windows. Przed wdrożeniem oprogramowania ransomware napastnicy eksfiltrują dane na swój serwer dowodzenia i kontroli (C2), zwiększając swoją skuteczność w scenariuszach podwójnego wymuszenia.

Ofiary są instruowane, aby komunikowały się za pośrednictwem oprogramowania do przesyłania wiadomości qTox i oczekiwały na telefony zwrotne w celu uzyskania pomocy technicznej, co komplikuje wysiłki mające na celu śledzenie komunikacji między atakującymi a ofiarami.

LukaLocker Ransomware kończy działanie oprogramowania zabezpieczającego i blokuje dane

LukaLocker Ransomware zostało wykryte w czerwcu 2024 roku jako plik binarny x64 PE opracowany w języku C++. Według badaczy wykorzystuje zaciemnianie API i dynamiczne rozpoznawanie API, aby ukryć szkodliwe działania, unikając wykrycia, analizy i inżynierii wstecznej. Ransomware wykorzystuje szyfr Chacha8 do masowego szyfrowania danych. Generuje losowy klucz i klucz jednorazowy Chacha8 przy użyciu algorytmu uzgadniania kluczy Diffiego-Hellmana (ECDH) o krzywej eliptycznej za pośrednictwem Curve25519. Pliki mogą być szyfrowane w całości lub w różnym stopniu, na przykład 50%, 20% lub 10%.

Po wykonaniu, jeśli nie określono opcji „--sd-killer-off”, LukaLocker natychmiast kończy kilka krytycznych usług bezpieczeństwa i monitorowania w sieci. Należą do nich narzędzia do ochrony przed złośliwym oprogramowaniem i ochroną punktów końcowych, rozwiązania do tworzenia kopii zapasowych i odzyskiwania danych, oprogramowanie baz danych firm Microsoft, IBM i Oracle, Microsoft Exchange Server, oprogramowanie do wirtualizacji oraz narzędzia do zdalnego dostępu i monitorowania. Kończy także procesy związane z przeglądarkami internetowymi, pakietem Microsoft Office oraz różnymi aplikacjami w chmurze i dostępem zdalnym.

Jak lepiej chronić swoje dane i urządzenia przed zagrożeniami typu ransomware?

Aby lepiej chronić swoje dane i urządzenia przed zagrożeniami związanymi z oprogramowaniem ransomware i złośliwym oprogramowaniem, rozważ wdrożenie następujących praktyk:

• Aktualizowanie aplikacji KeeYour : regularnie aktualizuj swój system operacyjny, aplikacje i oprogramowanie zabezpieczające, aby łatać luki w zabezpieczeniach, które mogą zostać wykorzystane przez złośliwe oprogramowanie.
• Używaj silnych, unikalnych haseł : stosuj złożone hasła i często je zmieniaj. Rozważ znalezienie menedżera haseł, który umożliwi bezpieczne ich śledzenie.
• Włącz uwierzytelnianie wieloskładnikowe (MFA) : dodaj dodatkową warstwę zabezpieczeń, włączając usługę MFA na kontach, które ją obsługują, co utrudnia atakującym uzyskanie nieautoryzowanego dostępu.
• Regularnie twórz kopie zapasowe danych : Twórz i regularnie twórz kopie zapasowe ważnych plików. Przechowuj kopie zapasowe w osobnej lokalizacji, offline lub w chmurze, aby zagwarantować ich bezpieczeństwo nawet w przypadku naruszenia bezpieczeństwa głównego systemu.
• Zachowaj ostrożność w przypadku wiadomości e-mail i łączy : Unikaj otwierania załączników lub korzystania z łączy z nieznanych lub podejrzanych źródeł. Przed interakcją z nieoczekiwanymi e-mailami zweryfikuj tożsamość nadawcy.
• Zainstaluj i konserwuj oprogramowanie zabezpieczające : używaj renomowanego oprogramowania chroniącego przed złośliwym oprogramowaniem i aktualizuj je. Włącz ochronę w czasie rzeczywistym i przeprowadzaj regularne skanowanie.
• Zabezpiecz swoją sieć : użyj silnego, unikalnego hasła Wi-Fi i włącz szyfrowanie WPA3. Rozważ utworzenie sieci dla gości, aby zapewnić bezpieczeństwo sieci podstawowej.
• Wyłącz makra w dokumentach pakietu Office : Wyłącz makra w dokumentach pakietu Microsoft Office, chyba że są one specjalnie potrzebne. Makra są powszechną metodą rozprzestrzeniania złośliwego oprogramowania.
• Edukuj siebie i innych : Bądź na bieżąco z najnowszymi zagrożeniami dla cyberbezpieczeństwa i najlepszymi praktykami. Edukuj członków rodziny i współpracowników na temat taktyk phishingu i bezpiecznego zachowania w Internecie.
• Używaj zapór sieciowych : Włącz zapory ogniowe na swoich urządzeniach i w sieci, aby blokować nieautoryzowany dostęp i monitorować ruch przychodzący i wychodzący pod kątem podejrzanej aktywności.

Łącząc te strategie, ryzyko stania się ofiarą oprogramowania ransomware i innych zagrożeń złośliwym oprogramowaniem może zostać drastycznie zmniejszone.