Программа-вымогатель LukaLocker

Новый злоумышленник-вымогатель, использующий тактику двойного вымогательства, совершил серию атак за короткий период времени. Эта организация представляет инновационное вредоносное ПО для шкафчиков, получившее название LukaLocker Ransomware, оснащенное различными методами обхода, позволяющими запутывать его операции и препятствовать судебно-медицинским расследованиям. Названная исследователями «Демоном Вулкана», группа киберпреступников привлекла внимание своим новым использованием LukaLocker, ранее невиданного вредоносного ПО для шкафчиков. Файлы, зашифрованные этой угрозой, имеют расширение «.nba».

Тактика, наблюдаемая при атаках демонов вулкана

Злоумышленники используют изощренные методы уклонения, такие как развертывание минимальных решений для регистрации и мониторинга жертв перед началом атак. Кроме того, они используют телефонные звонки с угрозами с номеров «без идентификатора вызывающего абонента», чтобы заставить жертв заплатить выкуп или обсудить условия.

Перед эксплуатацией журналы систематически очищаются, что затрудняет комплексный судебно-медицинский анализ обнаруженных инцидентов. Группа, известная как «Демон вулкана», воздерживается от сохранения места утечки, несмотря на то, что в ходе своих операций применяла тактику двойного вымогательства.

Во время своих атак Volcano Demon использует скомпрометированные административные учетные данные, полученные из сетей жертв, чтобы внедрить вариант LukaLocker для Linux. Это вредоносное ПО эффективно шифрует как рабочие станции Windows, так и серверы. Прежде чем развернуть программу-вымогатель, злоумышленники пересылают данные на свой сервер управления и контроля (C2), увеличивая свои возможности в сценариях двойного вымогательства.

Жертвам предлагается общаться через программное обеспечение для обмена сообщениями qTox и ожидать обратных звонков для технической поддержки, что усложняет усилия по отслеживанию коммуникаций между злоумышленниками и жертвами.

Программа-вымогатель LukaLocker завершает работу защитного ПО и блокирует данные

Программа-вымогатель LukaLocker была обнаружена в июне 2024 года как двоичный файл x64 PE, разработанный на C++. По мнению исследователей, он использует обфускацию API и динамическое разрешение API, чтобы скрыть вредоносные операции, избежать обнаружения, анализа и обратного проектирования. Программа-вымогатель использует шифр Chacha8 для массового шифрования данных. Он генерирует случайный ключ Chacha8 и одноразовый номер, используя алгоритм согласования ключей Диффи-Хеллмана на основе эллиптической кривой (ECDH) на основе Curve25519. Файлы могут быть зашифрованы полностью или с разной степенью шифрования, например 50 %, 20 % или 10 %.

После выполнения, если не указано «--sd-killer-off», LukaLocker немедленно завершает работу нескольких критически важных служб безопасности и мониторинга в сети. К ним относятся инструменты защиты от вредоносного ПО и конечных точек, решения для резервного копирования и восстановления, программное обеспечение баз данных от Microsoft, IBM и Oracle, Microsoft Exchange Server, программное обеспечение для виртуализации, а также инструменты удаленного доступа и мониторинга. Он также завершает процессы, связанные с веб-браузерами, Microsoft Office и различными облачными приложениями и приложениями удаленного доступа.

Как лучше защитить ваши данные и устройства от угроз вымогателей?

Чтобы лучше защитить ваши данные и устройства от программ-вымогателей и вредоносных программ, рассмотрите возможность применения следующих методов:

• Обновление ваших приложений : регулярно обновляйте свою операционную систему, приложения и программное обеспечение безопасности, чтобы устранить уязвимости, которые могут быть использованы вредоносным ПО.
• Используйте надежные и уникальные пароли . Используйте сложные пароли и часто меняйте их. Подумайте о том, чтобы найти менеджер паролей, чтобы безопасно их отслеживать.
• Включить многофакторную аутентификацию (MFA) . Добавьте дополнительный уровень безопасности, включив MFA в учетных записях, которые ее поддерживают, что усложнит злоумышленникам получение несанкционированного доступа.
• Регулярное резервное копирование данных : создавайте и поддерживайте регулярное резервное копирование важных файлов. Храните резервные копии в отдельном месте, автономно или в облаке, чтобы гарантировать их безопасность, даже если ваша основная система будет взломана.
• Будьте осторожны с электронными письмами и ссылками . Не открывайте вложения и не переходите по ссылкам из неизвестных или подозрительных источников. Проверьте личность отправителя, прежде чем взаимодействовать с неожиданными электронными письмами.
• Установите и поддерживайте программное обеспечение безопасности . Используйте надежное антивирусное программное обеспечение и регулярно обновляйте его. Включите постоянную защиту и запускайте регулярное сканирование.
• Защитите свою сеть : используйте надежный и уникальный пароль Wi-Fi и включите шифрование WPA3. Рассмотрите возможность создания гостевой сети для посетителей, чтобы обеспечить безопасность вашей основной сети.
• Отключить макросы в документах Office : отключите макросы в документах Microsoft Office, если они вам не нужны. Макросы — распространенный метод распространения вредоносного ПО.
• Обучайте себя и других : будьте в курсе последних угроз кибербезопасности и лучших практик. Расскажите членам семьи или коллег о тактике фишинга и безопасном поведении в Интернете.
• Используйте брандмауэры . Включите брандмауэры на своих устройствах и в сети, чтобы блокировать несанкционированный доступ и отслеживать входящий и исходящий трафик на предмет подозрительной активности.

Комбинируя эти стратегии, можно значительно снизить риск стать жертвой программ-вымогателей и других вредоносных программ.