LukaLocker Ransomware.

นักแสดงแรนซัมแวร์ตัวใหม่ที่ใช้กลยุทธ์การขู่กรรโชกซ้ำซ้อนได้เกิดการโจมตีหลายครั้งภายในระยะเวลาอันสั้น เอนทิตีนี้แนะนำมัลแวร์ล็อกเกอร์ที่เป็นนวัตกรรมใหม่ซึ่งมีชื่อว่า LukaLocker Ransomware ซึ่งมีเทคนิคการหลีกเลี่ยงต่างๆ เพื่อทำให้การดำเนินงานสับสนและขัดขวางการสืบสวนทางนิติวิทยาศาสตร์ กลุ่มอาชญากรไซเบอร์ที่ได้รับการระบุโดยนักวิจัยในชื่อ 'Volcano Demon' ได้รับความสนใจจากการใช้ LukaLocker ซึ่งเป็นมัลแวร์ล็อกเกอร์ที่ไม่มีใครพบเห็นมาก่อน ไฟล์ที่เข้ารหัสโดยภัยคุกคามนี้จะถูกต่อท้ายด้วยนามสกุล '.nba'

กลยุทธ์ที่พบในการโจมตีปีศาจภูเขาไฟ

ผู้โจมตีใช้วิธีการหลบเลี่ยงที่ซับซ้อน เช่น ปรับใช้การบันทึกเหยื่อให้น้อยที่สุดและติดตามโซลูชันก่อนเริ่มการโจมตี นอกจากนี้ พวกเขาใช้โทรศัพท์ 'ข่มขู่' จากหมายเลข 'ไม่มีหมายเลขผู้โทร' เพื่อบีบบังคับเหยื่อให้จ่ายค่าไถ่หรือเจรจาเงื่อนไข

ก่อนที่จะมีการใช้ประโยชน์ บันทึกจะถูกล้างอย่างเป็นระบบ ซึ่งเป็นอุปสรรคต่อการวิเคราะห์ทางนิติเวชที่ครอบคลุมในเหตุการณ์ที่ตรวจพบ กลุ่มที่รู้จักกันในชื่อ Volcano Demon งดเว้นการบำรุงรักษาจุดรั่วไหลแม้จะใช้กลวิธีขู่กรรโชกซ้ำซ้อนระหว่างปฏิบัติการก็ตาม

ในระหว่างการโจมตี Volcano Demon ใช้ข้อมูลรับรองการจัดการที่ถูกบุกรุกที่ได้รับจากเครือข่ายของเหยื่อเพื่อแนะนำ LukaLocker เวอร์ชัน Linux มัลแวร์นี้เข้ารหัสทั้งเวิร์กสเตชัน Windows และเซิร์ฟเวอร์อย่างมีประสิทธิภาพ ก่อนที่จะปรับใช้แรนซัมแวร์ ผู้โจมตีจะเจาะข้อมูลไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ซึ่งจะช่วยเพิ่มประสิทธิภาพในสถานการณ์การขู่กรรโชกซ้ำซ้อน

เหยื่อจะได้รับคำสั่งให้สื่อสารผ่านซอฟต์แวร์ส่งข้อความ qTox และรอการติดต่อกลับเพื่อรับการสนับสนุนทางเทคนิค ซึ่งจะทำให้ความพยายามในการติดตามการสื่อสารระหว่างผู้โจมตีและเหยื่อมีความซับซ้อน

LukaLocker Ransomware ยุติซอฟต์แวร์ความปลอดภัยและล็อคข้อมูล

LukaLocker Ransomware ถูกค้นพบในเดือนมิถุนายน 2024 โดยเป็นไบนารี x64 PE ที่พัฒนาขึ้นในภาษา C++ ตามที่นักวิจัยระบุว่า บริษัทใช้ API obfuscation และความละเอียดของ API แบบไดนามิกเพื่อปิดบังการดำเนินการที่เป็นอันตราย โดยหลบเลี่ยงการตรวจจับ การวิเคราะห์ และวิศวกรรมย้อนกลับ แรนซัมแวร์ใช้รหัส Chacha8 เพื่อเข้ารหัสข้อมูลจำนวนมาก มันสร้างคีย์ Chacha8 แบบสุ่มและ nonce โดยใช้อัลกอริธึมข้อตกลงคีย์ Elliptic-curve Diffie-Hellman (ECDH) บน Curve25519 ไฟล์สามารถเข้ารหัสทั้งหมดหรือในเปอร์เซ็นต์ที่แตกต่างกันได้ เช่น 50%, 20% หรือ 10%

เมื่อดำเนินการ เว้นแต่จะระบุ '--sd-killer-off' LukaLocker จะยุติบริการรักษาความปลอดภัยและการตรวจสอบที่สำคัญหลายอย่างในเครือข่ายทันที ซึ่งรวมถึงเครื่องมือป้องกันมัลแวร์และจุดสิ้นสุด โซลูชันการสำรองข้อมูลและการกู้คืน ซอฟต์แวร์ฐานข้อมูลจาก Microsoft, IBM และ Oracle, Microsoft Exchange Server, ซอฟต์แวร์การจำลองเสมือน และเครื่องมือการเข้าถึงและการตรวจสอบระยะไกล นอกจากนี้ยังยุติกระบวนการที่เกี่ยวข้องกับเว็บเบราว์เซอร์ Microsoft Office และแอปพลิเคชันการเข้าถึงระบบคลาวด์และระยะไกลต่างๆ

จะปกป้องข้อมูลและอุปกรณ์ของคุณจากภัยคุกคามแรนซัมแวร์ได้ดีขึ้นได้อย่างไร

เพื่อปกป้องข้อมูลและอุปกรณ์ของคุณจากภัยคุกคามแรนซัมแวร์และมัลแวร์ได้ดียิ่งขึ้น โปรดพิจารณาใช้แนวทางปฏิบัติต่อไปนี้:

• อัปเดตแอปพลิเคชัน KeeYour : อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์ความปลอดภัยของคุณเป็นประจำ เพื่อแก้ไขช่องโหว่ที่มัลแวร์อาจโจมตีได้
• ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน : ใช้รหัสผ่านที่ซับซ้อนและเปลี่ยนบ่อยๆ ลองค้นหาผู้จัดการรหัสผ่านเพื่อติดตามพวกเขาอย่างปลอดภัย
• เปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย (MFA) : เพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมโดยการเปิดใช้งาน MFA ในบัญชีที่รองรับ ทำให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาตได้ยากขึ้น
• สำรองข้อมูลเป็นประจำ : สร้างและดูแลรักษาการสำรองข้อมูลไฟล์สำคัญเป็นประจำ จัดเก็บข้อมูลสำรองไว้ในตำแหน่งแยกต่างหาก ทั้งแบบออฟไลน์หรือในระบบคลาวด์ เพื่อรับประกันความปลอดภัยแม้ว่าระบบหลักของคุณจะถูกบุกรุกก็ตาม
• ใช้อีเมลและลิงก์อย่างระมัดระวัง : หลีกเลี่ยงการเปิดไฟล์แนบหรือติดตามลิงก์จากแหล่งที่ไม่รู้จักหรือน่าสงสัย ตรวจสอบตัวตนของผู้ส่งก่อนโต้ตอบกับอีเมลที่ไม่คาดคิด
• ติดตั้งและบำรุงรักษาซอฟต์แวร์ความปลอดภัย : ใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงและอัปเดตอยู่เสมอ เปิดใช้งานการป้องกันแบบเรียลไทม์และทำการสแกนเป็นประจำ
• รักษาความปลอดภัยเครือข่ายของคุณ : ใช้รหัสผ่าน Wi-Fi ที่รัดกุมและไม่ซ้ำใครและเปิดใช้งานการเข้ารหัส WPA3 พิจารณาสร้างเครือข่ายแขกสำหรับผู้เยี่ยมชมเพื่อรักษาเครือข่ายหลักของคุณให้ปลอดภัย
• ปิดการใช้งานมาโครในเอกสาร Office : ปิดการใช้งานมาโครในเอกสาร Microsoft Office เว้นแต่ว่าคุณต้องการมันเป็นพิเศษ มาโครเป็นวิธีการทั่วไปในการแพร่กระจายมัลแวร์
• ให้ความรู้แก่ตนเองและผู้อื่น : รับข่าวสารเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ล่าสุดและแนวปฏิบัติที่ดีที่สุด ให้ความรู้แก่สมาชิกในครอบครัวหรือเพื่อนร่วมงานเกี่ยวกับกลยุทธ์ฟิชชิ่งและพฤติกรรมออนไลน์ที่ปลอดภัย
• ใช้ไฟร์วอลล์ : เปิดใช้งานไฟร์วอลล์บนอุปกรณ์และเครือข่ายของคุณเพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต และตรวจสอบการรับส่งข้อมูลขาเข้าและขาออกเพื่อหากิจกรรมที่น่าสงสัย

ด้วยการรวมกลยุทธ์เหล่านี้เข้าด้วยกัน ความเสี่ยงในการตกเป็นเหยื่อของแรนซัมแวร์และภัยคุกคามมัลแวร์อื่นๆ จะลดลงอย่างมาก