LockBeast Ransomware

Sa pamamagitan ng Mezo sa Ransomware

Isalin To:

Ang Ransomware ay nananatiling isa sa mga pinaka nakakagambalang cyberthreat para sa mga organisasyon at mga user sa bahay. Ang isang matagumpay na panghihimasok ay maaaring mag-lock ng data na kritikal sa negosyo, huminto sa mga operasyon, at mag-trigger ng magastos na pagtugon sa insidente at mga pagsisikap sa pagbawi. Ang pagbuo ng mga layered na depensa at kahandaan sa pagtugon bago ang isang outbreak ay ang pagkakaiba sa pagitan ng isang nakapaloob na kaganapan at isang krisis.

BUOD NG BANTA

Kapag naisakatuparan na ang LockBeast Ransomware, ine-encrypt nito ang data ng user, binabago ang mga filename para mag-embed ng identifier ng biktima, at nag-drop ng ransom note na pinamagatang 'README.TXT.' Ang mga operator ay nagsasama ng pag-encrypt na may pagnanakaw ng data upang pilitin ang mga biktima na magbayad, na nagbabantang mag-leak ng sensitibong impormasyon kung ang pakikipag-ugnayan ay hindi maitatag sa loob ng isang nakatakdang window.

ENCRYPTION AT FILE REAMING WORKFLOW

Sa panahon ng pag-encrypt, idinaragdag ng LockBeast ang parehong ID na partikular sa biktima at ang extension na '.lockbeast' sa mga naka-target na file. Halimbawa, ang '1.png' ay nagiging '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast,' at ang '2.pdf' ay nagiging '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2B5}. Ang pattern na ito ay nagbibigay-daan sa mga umaatake na subaybayan ang mga indibidwal na biktima at kumpirmahin ang pagbabayad bago magbigay ng anumang kakayahan sa pag-decryption. Ang nakagawiang pag-encrypt ay naglalayong masakop ang isang malawak na hanay ng mga uri ng data, kabilang ang mga dokumento, database, archive, media, at mga repositoryo ng source code.

RANSOM NOTE AT DOUBLE-EXTORTION TACTICS

Iginiit ng tala na 'README.TXT' na hindi available ang lahat ng mahahalagang file at inaangkin ang exfiltration ng mga sensitibong tala, gaya ng mga kasaysayan ng transaksyon, PII ng customer, mga detalye ng card ng pagbabayad, at mga balanse ng account, sa imprastraktura ng umaatake. Ang tala ay nagbibigay ng mga detalye sa pakikipag-ugnayan sa pamamagitan ng mga messenger na nakatuon sa privacy (Session at Tox), nagbabala laban sa pagpapalit ng pangalan ng mga file o paggamit ng mga third-party na decryptor, at nagtatakda ng pitong araw na deadline bago ang sinasabing pag-publish ng data. Pinagsasama nito ang klasikong pangingikil ng file-encryption sa mga banta ng pampublikong pagtagas upang mapataas ang presyon. Ang pagbabayad ay nananatiling mapanganib: walang garantiya ng gumaganang pag-decryption, kumpletong pagbawi ng data, o pagtanggal ng ninakaw na impormasyon kahit na may ipinadalang ransom.

INITIAL ACCESS AT DISTRIBUTION VECTORS

Ang mga sinusunod at malamang na paraan ng paghahatid ay umaayon sa mga karaniwang pagpapatakbo ng ransomware. Ang mga banta ng aktor ay nagbubunga ng mga impeksyon sa pamamagitan ng mga nakakahamak na email attachment o link, trojanized o pirated na software at keygens, social-engineering 'support' scam, at pagsasamantala sa mga hindi na-patch na kahinaan. Kasama sa mga karagdagang pathway ang mga drive-by o malvertising na pag-redirect, mga third-party na nag-download, nakompromiso o kamukhang mga website, infected na naaalis na media, at peer-to-peer na pagbabahagi ng file. Ang pagpapatupad ay madalas na nagsisimula kapag ang isang user ay nagbukas ng isang booby-trap na executable, archive, Office, o PDF na dokumento, o script.

GABAY SA PAGKAWAL AT PAGPAPAWAS

Kung pinaghihinalaan ng LockBeast na nahawahan ang system, kumilos kaagad. Ihiwalay ang mga apektadong machine mula sa network (wired at wireless) upang maiwasan ang karagdagang pag-encrypt at lateral spread. I-disable ang mga shared drive at bawiin ang mga kahina-hinalang access token o session. Panatilihin ang mga pabagu-bagong artifact at log para sa forensics, pagkatapos ay alisin ang malware gamit ang isang pinagkakatiwalaan, ganap na na-update na solusyon sa seguridad o isang kilalang magandang kapaligiran sa pagtugon sa insidente. I-restore lamang mula sa malinis, offline na mga backup pagkatapos makumpirma na ang banta ay maalis; kung hindi, ang muling impeksyon ay maaaring muling i-encrypt ang naibalik na data.

PAGBAWI AT EPEKTO SA NEGOSYO

Ang pag-decryption nang walang mga tool ng mga umaatake ay karaniwang hindi magagawa maliban kung may mga backup. Unahin ang pagpapanumbalik ng mga pinakamahalagang serbisyo mula sa hindi nababago o offline na mga snapshot. Tratuhin ang anumang claim sa exfiltration bilang kapani-paniwala hanggang mapatunayan kung hindi: tasahin kung anong data ang maaaring nalantad, maghanda ng mga notification kung kinakailangan ng batas o kontrata, at subaybayan ang pang-aabuso (hal., panloloko laban sa mga customer).

MGA DESISYON TUNGKOL SA PAGBAYAD

Bagama't ang bawat insidente ay may natatanging pagpapatakbo at legal na mga pagsasaalang-alang, ang pagbabayad ng ransom ay nagpopondo sa kriminal na aktibidad at hindi nag-aalok ng garantiya ng ganap na pagbawi ng data o hindi pagsisiwalat. Isaalang-alang muna ang mga alternatibo: pagpapanumbalik mula sa mga backup, bahagyang muling pagtatayo ng data, at mga hakbang sa proteksyon ng customer.

BOTTOM LINE

Pinagsasama ng LockBeast ang agresibong pag-encrypt sa mga banta sa pagtagas ng data upang pilitin ang mga biktima. Ang mabilis na paghihiwalay, disiplinadong pagtanggal, at maaasahang offline na pag-backup ay mahalaga sa pagbawi. Sa paglipas ng mahabang panahon, ang mga organisasyong namumuhunan sa pag-patch, hindi gaanong pribilehiyo, matatag na email at mga kontrol sa web, at pagiging handa sa makatotohanang insidente ay kapansin-pansing binabawasan ang posibilidad at epekto ng mga kaganapan sa ransomware.

Mga mensahe

Ang mga sumusunod na mensahe na nauugnay sa LockBeast Ransomware ay natagpuan:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.