LukaLocker Ransomware

Un nou actor de ransomware care folosește tactici de dublă extorcare a apărut cu o serie de atacuri într-o perioadă scurtă. Această entitate introduce un malware inovator de încuietoare denumit LukaLocker Ransomware, echipat cu diverse tehnici de evaziune pentru a-și ofusca operațiunile și a împiedica investigațiile criminalistice. Identificat de cercetători drept „Demonul Vulcanului”, un grup de infractori cibernetici a atras atenția pentru noua sa utilizare a LukaLocker, care era un malware pentru dulapuri nevăzut anterior. Fișierele criptate de această amenințare sunt atașate cu extensia „.nba”.

Tactici observate în atacurile demonilor vulcani

Atacatorii folosesc metode sofisticate de evaziune, cum ar fi implementarea unor soluții minime de înregistrare a victimelor și de monitorizare înainte de a iniția atacurile. În plus, folosesc apeluri telefonice „amenințătoare” de la numere „Fără ID apelant” pentru a constrânge victimele să plătească răscumpărare sau să negocieze condiții.

Înainte de exploatare, buștenii sunt curățați sistematic, împiedicând analiza criminalistică cuprinzătoare a incidentelor detectate. Grupul cunoscut sub numele de Demonul Vulcanului se abține de la menținerea unui loc de scurgere, în ciuda faptului că folosește tactici duble de extorcare în timpul operațiunilor sale.

În timpul atacurilor lor, Vulcano Demon utilizează acreditările administrative compromise obținute de la rețelele victimelor pentru a introduce o variantă Linux a LukaLocker. Acest malware criptează eficient atât stațiile de lucru Windows, cât și serverele. Înainte de a implementa ransomware, atacatorii exfiltrează datele pe serverul lor Command-and-Control (C2), sporindu-și efectul de pârghie în scenariile de dublă extorcare.

Victimele sunt instruite să comunice prin intermediul software-ului de mesagerie qTox și să aștepte apeluri pentru asistență tehnică, complicând eforturile de a urmări comunicațiile dintre atacatori și victime.

Ransomware-ul LukaLocker termină software-ul de securitate și blochează datele

LukaLocker Ransomware a fost descoperit în iunie 2024 ca un binar PE x64 dezvoltat în C++. Potrivit cercetătorilor, folosește ofuscarea API și rezoluția dinamică API pentru a-și ascunde operațiunile dăunătoare, evitând detectarea, analiza și inginerie inversă. Ransomware-ul folosește cifrul Chacha8 pentru criptarea datelor în vrac. Acesta generează o cheie Chacha8 aleatoare și nonce folosind algoritmul de acord cheie Diffie-Hellman (ECDH) cu curbă eliptică peste Curva25519. Fișierele pot fi criptate în întregime sau în procente diferite, cum ar fi 50%, 20% sau 10%.

La execuție, cu excepția cazului în care se specifică „--sd-killer-off”, LukaLocker termină cu promptitudine mai multe servicii critice de securitate și monitorizare în rețea. Acestea includ instrumente anti-malware și de protecție a punctelor terminale, soluții de backup și recuperare, software de baze de date de la Microsoft, IBM și Oracle, Microsoft Exchange Server, software de virtualizare și instrumente de acces și monitorizare la distanță. De asemenea, termină procesele legate de browsere web, Microsoft Office și diverse aplicații cloud și de acces la distanță.

Cum să vă protejați mai bine datele și dispozitivele de amenințările ransomware?

Pentru a vă proteja mai bine datele și dispozitivele de amenințările ransomware și malware, luați în considerare implementarea următoarelor practici:

• Actualizați aplicațiile KeeYour : actualizați în mod regulat sistemul de operare, aplicațiile și software-ul de securitate pentru a corecta vulnerabilitățile care ar putea fi exploatate de malware.
• Utilizați parole puternice și unice : folosiți parole complexe și schimbați-le frecvent. Luați în considerare găsirea unui manager de parole pentru a le urmări în siguranță.
• Activați autentificarea cu mai mulți factori (MFA) : adăugați un nivel suplimentar de securitate activând MFA pe conturile care o acceptă, făcând mai greu pentru atacatori să obțină acces neautorizat.
• Copiere de rezervă periodice a datelor : creați și mențineți copii de siguranță regulate ale fișierelor importante. Stocați copiile de rezervă într-o locație separată, fie offline, fie în cloud, pentru a garanta siguranța acestora chiar dacă sistemul dvs. principal este compromis.
• Fiți prudent cu e-mailurile și linkurile : evitați să deschideți atașamente sau să urmăriți linkuri din surse necunoscute sau suspecte. Verificați identitatea expeditorului înainte de a interacționa cu e-mailuri neașteptate.
• Instalați și mențineți software-ul de securitate : utilizați software anti-malware de renume și păstrați-l actualizat. Activați protecția în timp real și executați scanări regulate.
• Asigurați-vă rețeaua : utilizați o parolă Wi-Fi puternică și unică și activați criptarea WPA3. Luați în considerare crearea unei rețele de vizitatori pentru a vă menține rețeaua principală în siguranță.
• Dezactivați macrocomenzile din documentele Office : dezactivați macrocomenzile din documentele Microsoft Office, cu excepția cazului în care aveți nevoie de ele în mod specific. Macro-urile sunt o metodă comună de răspândire a programelor malware.
• Educați-vă și pe ceilalți : rămâneți la curent cu cele mai recente amenințări de securitate cibernetică și cele mai bune practici. Educați membrii familiei sau colegii despre tacticile de phishing și comportamentul online sigur.
• Utilizați firewall-uri : activați firewall-urile pe dispozitivele și rețeaua dvs. pentru a bloca accesul neautorizat și pentru a monitoriza traficul de intrare și de ieșire pentru activități suspecte.

Prin combinarea acestor strategii, riscul de a deveni victima ransomware-ului și a altor amenințări malware poate fi redus drastic.