LukaLocker Ransomware

Um novo autor de ransomware que emprega táticas de dupla extorsão surgiu com uma série de ataques em um curto período. Esta entidade apresenta um malware de bloqueio inovador denominado LukaLocker Ransomware, equipado com várias técnicas de evasão para ofuscar suas operações e dificultar investigações forenses. Identificado pelos pesquisadores como oVolcano Demon’, um grupo cibercriminoso atraiu atenção por seu novo uso do LukaLocker, que era um malware de armário nunca antes visto. Os arquivos criptografados por esta ameaça são anexados à extensão '.nba'.

As Táticas Observadas nos Ataques do Volcano Demon

Os invasores empregam métodos sofisticados de evasão, como a implantação de soluções mínimas de registro e monitoramento de vítimas antes de iniciar os ataques. Além disso, eles utilizam chamadas telefônicas 'ameaçadoras' de números 'Sem identificador de chamadas' para coagir as vítimas a pagar resgate ou negociar termos.

Antes da exploração, os registos são sistematicamente apagados, impedindo uma análise forense abrangente dos incidentes detectados. O grupo conhecido como Volcano Demon se abstém de manter um local de vazamento, apesar de empregar táticas de dupla extorsão durante suas operações.

Durante seus ataques, o Volcano Demon utiliza credenciais administrativas comprometidas obtidas das redes das vítimas para introduzir uma variante Linux do LukaLocker. Este malware criptografa efetivamente estações de trabalho e servidores Windows. Antes de implantar o ransomware, os invasores exfiltram dados para seu servidor de comando e controle (C2), aumentando sua vantagem em cenários de dupla extorsão.

As vítimas são instruídas a se comunicar por meio do software de mensagens qTox e aguardar retornos de chamada para suporte técnico, complicando os esforços para rastrear as comunicações entre os invasores e as vítimas.

O LukaLocker Ransomware Desliga o Software de Segurança e Bloqueia Dados

O LukaLocker Ransomware foi descoberto em junho de 2024 como um binário x64 PE desenvolvido em C++. Segundo os pesquisadores, ele emprega ofuscação e resolução dinâmica de API para ocultar suas operações prejudiciais, evitando detecção, análise e engenharia reversa. O ransomware usa a cifra Chacha8 para criptografar dados em massa. Ele gera uma chave Chacha8 aleatória e um nonce usando o algoritmo de concordância de chave Diffie-Hellman (ECDH) de curva elíptica sobre Curve25519. Os arquivos podem ser criptografados inteiramente ou em porcentagens diferentes, como 50%, 20% ou 10%.

Após a execução, a menos que '--sd-killer-off' seja especificado, o LukaLocker encerra imediatamente vários serviços críticos de segurança e monitoramento em toda a rede. Isso inclui ferramentas antimalware e de proteção de endpoint, soluções de backup e recuperação, software de banco de dados da Microsoft, IBM e Oracle, Microsoft Exchange Server, software de virtualização e ferramentas de acesso remoto e monitoramento. Ele também encerra processos relacionados a navegadores da Web, Microsoft Office e vários aplicativos de nuvem e de acesso remoto.

Como Proteger Melhor os Seus Dados e Dispositivos contra Ameaças de Ransomware?

Para proteger melhor seus dados e dispositivos contra ameaças de ransomware e malware, considere implementar as seguintes práticas:

• Mantenha seus aplicativos atualizados : Atualize regularmente seu sistema operacional, aplicativos e software de segurança para corrigir vulnerabilidades que podem ser exploradas por malware.
• Use senhas fortes e exclusivas : Use senhas complexas e altere-as com frequência. Considere encontrar um gerenciador de senhas para controlá-las com segurança.
• Habilite a autenticação multifator (MFA) : Adicione uma camada extra de segurança habilitando a MFA em contas que a suportam, tornando mais difícil para os invasores obterem acesso não autorizado.
• Faça backup dos seus dados regularmente : Crie e mantenha backups regulares de arquivos importantes. Armazene os backups em um local separado, offline ou na nuvem, para garantir sua segurança mesmo que seu sistema principal esteja comprometido.
• Seja prudente com e-mails e links : Evite abrir anexos ou seguir links de fontes desconhecidas ou suspeitas. Verifique a identidade do remetente antes de interagir com emails inesperados.
• Instale e mantenha software de segurança : Use software antimalware confiável e mantenha-o atualizado. Ative a proteção em tempo real e execute verificações regulares.
• Proteja sua rede : Use uma senha Wi-Fi forte e exclusiva e habilite a criptografia WPA3. Considere estabelecer uma rede de convidados para visitantes para manter sua rede primária segura.
• Desativar macros em documentos do Office : Desative macros em documentos do Microsoft Office, a menos que você precise delas especificamente. Macros são um método comum para espalhar malware.
• Eduque-se e aos outros : Mantenha-se informado sobre as mais recentes ameaças e práticas recomendadas à segurança cibernética. Eduque familiares ou colegas sobre táticas de phishing e comportamento on-line seguro.
• Use firewalls : Ative firewalls em seus dispositivos e rede para bloquear acesso não autorizado e monitorar o tráfego de entrada e saída em busca de atividades suspeitas.

Ao combinar estas estratégias, o risco de ser vítima de ransomware e outras ameaças de malware pode ser reduzido drasticamente.