แรนซัมแวร์ LockBeast

แปลเป็น:

แรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่สร้างความเสียหายมากที่สุดสำหรับทั้งองค์กรและผู้ใช้งานตามบ้าน การบุกรุกที่ประสบความสำเร็จเพียงครั้งเดียวอาจทำให้ข้อมูลสำคัญทางธุรกิจถูกล็อก หยุดชะงักการดำเนินงาน และก่อให้เกิดต้นทุนสูงในการตอบสนองต่อเหตุการณ์และการกู้คืนข้อมูล การสร้างระบบป้องกันแบบหลายชั้นและความพร้อมในการรับมือก่อนเกิดการระบาดคือความแตกต่างระหว่างเหตุการณ์ที่ถูกควบคุมได้กับวิกฤต

สรุปภัยคุกคาม

เมื่อ LockBeast Ransomware ถูกดำเนินการ มันจะเข้ารหัสข้อมูลผู้ใช้ เปลี่ยนชื่อไฟล์เพื่อฝังตัวระบุตัวตนของเหยื่อ และปล่อยบันทึกเรียกค่าไถ่ที่มีหัวเรื่องว่า 'README.TXT' ผู้ปฏิบัติการใช้การเข้ารหัสร่วมกับการขโมยข้อมูลเพื่อกดดันให้เหยื่อจ่ายเงิน โดยขู่ว่าจะรั่วไหลข้อมูลที่ละเอียดอ่อนหากไม่สามารถติดต่อได้ภายในระยะเวลาที่กำหนด

เวิร์กโฟลว์การเข้ารหัสและการเปลี่ยนชื่อไฟล์

ระหว่างการเข้ารหัส LockBeast จะเพิ่มทั้งรหัสเฉพาะของเหยื่อและนามสกุลไฟล์ '.lockbeast' ลงในไฟล์เป้าหมาย ตัวอย่างเช่น '1.png' จะกลายเป็น '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast' และ '2.pdf' จะกลายเป็น '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast' รูปแบบนี้ช่วยให้ผู้โจมตีสามารถติดตามเหยื่อแต่ละรายและยืนยันการชำระเงินก่อนที่จะให้ความสามารถในการถอดรหัสใดๆ รูทีนการเข้ารหัสมีเป้าหมายเพื่อครอบคลุมประเภทข้อมูลที่หลากหลาย รวมถึงเอกสาร ฐานข้อมูล ไฟล์เก็บถาวร สื่อ และที่เก็บซอร์สโค้ด

บันทึกเรียกค่าไถ่และกลยุทธ์การรีดไถสองต่อ

บันทึก 'README.TXT' ยืนยันว่าไฟล์สำคัญทั้งหมดไม่สามารถใช้งานได้ และอ้างว่ามีการขโมยข้อมูลสำคัญ เช่น ประวัติการทำธุรกรรม ข้อมูลส่วนบุคคลของลูกค้า รายละเอียดบัตรชำระเงิน และยอดคงเหลือในบัญชี ไปยังโครงสร้างพื้นฐานของผู้โจมตี บันทึกดังกล่าวให้ข้อมูลติดต่อผ่านระบบส่งข้อความที่เน้นความเป็นส่วนตัว (Session และ Tox) เตือนไม่ให้เปลี่ยนชื่อไฟล์หรือใช้โปรแกรมถอดรหัสของบุคคลที่สาม และกำหนดเส้นตายเจ็ดวันก่อนการเผยแพร่ข้อมูลที่ถูกกล่าวหา วิธีนี้ผสมผสานการขู่กรรโชกด้วยการเข้ารหัสไฟล์แบบเดิมๆ เข้ากับภัยคุกคามการรั่วไหลสู่สาธารณะเพื่อเพิ่มแรงกดดัน การจ่ายเงินยังคงมีความเสี่ยง ไม่มีการรับประกันว่าการถอดรหัสจะได้ผล การกู้คืนข้อมูลจะสมบูรณ์ หรือการลบข้อมูลที่ถูกขโมย แม้ว่าจะมีการจ่ายค่าไถ่แล้วก็ตาม

เวกเตอร์การเข้าถึงและการจัดจำหน่ายเบื้องต้น

วิธีการส่งมัลแวร์ที่สังเกตได้และมีแนวโน้มจะสอดคล้องกับปฏิบัติการเรียกค่าไถ่ทั่วไป ผู้ก่อภัยคุกคามจะแพร่กระจายมัลแวร์ผ่านไฟล์แนบหรือลิงก์อีเมลที่เป็นอันตราย ซอฟต์แวร์และคีย์เจนที่เป็นโทรจันหรือละเมิดลิขสิทธิ์ การหลอกลวงทางวิศวกรรมสังคมเพื่อ "สนับสนุน" และการใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการแก้ไข เส้นทางเพิ่มเติม ได้แก่ การเปลี่ยนเส้นทางแบบไดรฟ์บายหรือแบบโฆษณาแฝง โปรแกรมดาวน์โหลดของบุคคลที่สาม เว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์ที่มีลักษณะคล้ายกัน สื่อแบบถอดได้ที่ติดไวรัส และการแชร์ไฟล์แบบเพียร์ทูเพียร์ การดำเนินการมักจะเริ่มต้นเมื่อผู้ใช้เปิดไฟล์ปฏิบัติการ ไฟล์เก็บถาวร เอกสาร Office หรือ PDF หรือสคริปต์ที่ติดกับดัก

คำแนะนำในการควบคุมและกำจัด

หากสงสัยว่า LockBeast ติดเชื้อระบบ ให้ดำเนินการทันที แยกเครื่องที่ได้รับผลกระทบออกจากเครือข่าย (ทั้งแบบมีสายและไร้สาย) เพื่อป้องกันการเข้ารหัสเพิ่มเติมและการแพร่กระจายแบบขนาน ปิดใช้งานไดรฟ์ที่ใช้ร่วมกันและยกเลิกโทเค็นการเข้าถึงหรือเซสชันที่น่าสงสัย เก็บรักษาอาร์ทิแฟกต์และบันทึกที่ผันผวนสำหรับการตรวจสอบทางนิติวิทยาศาสตร์ จากนั้นลบมัลแวร์โดยใช้โซลูชันความปลอดภัยที่เชื่อถือได้และอัปเดตอย่างสมบูรณ์ หรือสภาพแวดล้อมการตอบสนองต่อเหตุการณ์ที่ทราบว่าปลอดภัย กู้คืนจากการสำรองข้อมูลแบบออฟไลน์ที่สะอาดหลังจากยืนยันว่าภัยคุกคามถูกกำจัดแล้วเท่านั้น มิฉะนั้น การติดไวรัสซ้ำอาจเข้ารหัสข้อมูลที่กู้คืนมาอีกครั้ง

การฟื้นตัวและผลกระทบต่อธุรกิจ

การถอดรหัสโดยไม่ใช้เครื่องมือของผู้โจมตีมักจะไม่สามารถทำได้ เว้นแต่จะมีการสำรองข้อมูล ควรให้ความสำคัญกับการกู้คืนบริการที่สำคัญที่สุดจากสแนปช็อตที่ไม่เปลี่ยนแปลงหรือแบบออฟไลน์ พิจารณาข้อเรียกร้องใดๆ เกี่ยวกับการขโมยข้อมูลว่าน่าเชื่อถือจนกว่าจะพิสูจน์ได้เป็นอย่างอื่น ประเมินว่าข้อมูลใดอาจถูกเปิดเผย จัดเตรียมการแจ้งเตือนหากกฎหมายหรือสัญญากำหนด และตรวจสอบการละเมิด (เช่น การฉ้อโกงลูกค้า)

จุดตัดสินใจเกี่ยวกับการชำระเงิน

แม้ว่าแต่ละเหตุการณ์จะมีข้อพิจารณาเฉพาะด้านการปฏิบัติงานและกฎหมาย แต่การจ่ายค่าไถ่ถือเป็นการสนับสนุนกิจกรรมทางอาญา และไม่ได้รับประกันการกู้คืนข้อมูลทั้งหมดหรือการไม่เปิดเผยข้อมูล ควรพิจารณาทางเลือกอื่นก่อน เช่น การกู้คืนจากข้อมูลสำรอง การสร้างข้อมูลใหม่บางส่วน และมาตรการคุ้มครองลูกค้า

สรุป

LockBeast ผสานการเข้ารหัสเชิงรุกเข้ากับภัยคุกคามการรั่วไหลของข้อมูลเพื่อบีบบังคับเหยื่อ การแยกตัวอย่างรวดเร็ว การกำจัดอย่างมีวินัย และการสำรองข้อมูลแบบออฟไลน์ที่เชื่อถือได้ ล้วนเป็นสิ่งสำคัญต่อการกู้คืนระบบ ในระยะยาว องค์กรที่ลงทุนในการแพตช์ การลดสิทธิ์การเข้าถึง การควบคุมอีเมลและเว็บที่แข็งแกร่ง และการเตรียมพร้อมรับมือเหตุการณ์ที่สมจริง จะช่วยลดทั้งโอกาสและผลกระทบของเหตุการณ์แรนซัมแวร์ได้อย่างมาก

ข้อความ

พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ แรนซัมแวร์ LockBeast:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.