LukaLocker Ransomware

V krátkom čase sa objavil nový hráč ransomvéru, ktorý využíva taktiku dvojitého vydierania so sériou útokov. Táto entita predstavuje inovatívny malvér pre skrinky s názvom LukaLocker Ransomware, ktorý je vybavený rôznymi únikovými technikami na zahmlievanie jej operácií a brzdenie forenzného vyšetrovania. Skupina kyberzločincov, identifikovaná výskumníkmi ako „Démon sopky“, si získala pozornosť novým použitím LukaLockera, čo bol predtým nevídaný malvér skrinky. Súbory zašifrované touto hrozbou sú pripojené s príponou '.nba'.

Taktika pozorovaná pri útokoch démonov sopky

Útočníci využívajú sofistikované metódy úniku, ako je nasadenie minimálnych riešení na zaznamenávanie a monitorovanie obetí pred začatím útokov. Okrem toho využívajú „výhražné“ telefonáty z čísel „No Caller ID“ na donútenie obetí, aby zaplatili výkupné alebo vyjednali podmienky.

Pred využívaním sú protokoly systematicky čistené, čo bráni komplexnej forenznej analýze zistených incidentov. Skupina známa ako Volcano Demon sa vyhýba udržiavaniu miesta úniku napriek tomu, že počas svojich operácií používa taktiku dvojitého vydierania.

Počas svojich útokov Volcano Demon využíva kompromitované administratívne poverenia získané zo sietí obetí na zavedenie linuxového variantu LukaLocker. Tento malvér efektívne šifruje pracovné stanice aj servery Windows. Pred nasadením ransomvéru útočníci exfiltrujú údaje na svoj server Command-and-Control (C2), čím zvyšujú svoj vplyv v scenároch dvojitého vydierania.

Obete sú poučené, aby komunikovali prostredníctvom softvéru na odosielanie správ qTox a čakali na spätné volanie na technickú podporu, čo komplikuje úsilie o vysledovanie komunikácie medzi útočníkmi a obeťami.

LukaLocker Ransomware ukončí bezpečnostný softvér a uzamkne údaje

LukaLocker Ransomware bol objavený v júni 2024 ako x64 PE binárny súbor vyvinutý v C++. Podľa výskumníkov využíva zahmlievanie API a dynamické rozlíšenie API, aby zakrylo svoje škodlivé operácie, vyhýbalo sa detekcii, analýze a reverznému inžinierstvu. Ransomvér používa šifru Chacha8 na hromadné šifrovanie údajov. Generuje náhodný kľúč Chacha8 a nonce pomocou algoritmu zhody kľúča Eliptic Curve Diffie-Hellman (ECDH) cez Curve25519. Súbory môžu byť šifrované úplne alebo v rôznych percentách, napríklad 50 %, 20 % alebo 10 %.

Po spustení, pokiaľ nie je špecifikované '--sd-killer-off', LukaLocker okamžite ukončí niekoľko dôležitých bezpečnostných a monitorovacích služieb v celej sieti. Patria sem nástroje na ochranu pred malvérom a koncovými bodmi, riešenia zálohovania a obnovy, databázový softvér od spoločností Microsoft, IBM a Oracle, Microsoft Exchange Server, virtualizačný softvér a nástroje na vzdialený prístup a monitorovanie. Tiež ukončuje procesy súvisiace s webovými prehliadačmi, balíkom Microsoft Office a rôznymi cloudovými aplikáciami a aplikáciami pre vzdialený prístup.

Ako lepšie chrániť svoje údaje a zariadenia pred hrozbami ransomvéru?

Ak chcete lepšie chrániť svoje údaje a zariadenia pred hrozbami ransomvéru a malvéru, zvážte implementáciu nasledujúcich postupov:

• KeeYour Applications Updated : Pravidelne aktualizujte svoj operačný systém, aplikácie a bezpečnostný softvér, aby ste opravili slabé miesta, ktoré by mohol zneužiť malvér.
• Používajte silné, jedinečné heslá : Používajte zložité heslá a často ich meňte. Zvážte nájdenie správcu hesiel, aby ste ich mohli bezpečne sledovať.
• Povoliť viacfaktorovú autentifikáciu (MFA) : Pridajte ďalšiu vrstvu zabezpečenia povolením MFA na účtoch, ktoré ju podporujú, čím sťažíte útočníkom získať neoprávnený prístup.
• Pravidelné zálohovanie údajov : Vytvárajte a udržiavajte pravidelné zálohy dôležitých súborov. Ukladajte zálohy na samostatnom mieste, či už offline alebo v cloude, aby ste zaručili ich bezpečnosť aj v prípade, že dôjde k ohrozeniu vášho hlavného systému.
• Pri e-mailoch a odkazoch buďte opatrní : Vyhnite sa otváraniu príloh ani sledovaniu odkazov z neznámych alebo podozrivých zdrojov. Pred interakciou s neočakávanými e-mailami overte identitu odosielateľa.
• Inštalácia a údržba bezpečnostného softvéru : Používajte uznávaný antimalvérový softvér a udržiavajte ho aktualizovaný. Povoľte ochranu v reálnom čase a spúšťajte pravidelné kontroly.
• Zabezpečte svoju sieť : Použite silné, jedinečné heslo Wi-Fi a povoľte šifrovanie WPA3. Zvážte vytvorenie hosťovskej siete pre návštevníkov, aby bola vaša primárna sieť zabezpečená.
• Zakázať makrá v dokumentoch balíka Office : Zakážte makrá v dokumentoch balíka Microsoft Office, pokiaľ ich konkrétne nepotrebujete. Makrá sú bežnou metódou na šírenie škodlivého softvéru.
• Vzdelávajte seba a ostatných : Buďte informovaní o najnovších hrozbách kybernetickej bezpečnosti a osvedčených postupoch. Poučte členov rodiny alebo kolegov o taktike phishingu a bezpečnom správaní na internete.
• Použiť brány firewall : Povoľte brány firewall na svojich zariadeniach a sieti, aby ste zablokovali neoprávnený prístup a sledovali podozrivú aktivitu prichádzajúcej a odchádzajúcej prevádzky.

Kombináciou týchto stratégií možno drasticky znížiť riziko, že sa stanete obeťou ransomvéru a iných malvérových hrozieb.