LukaLocker Ransomware

Isang bagong aktor ng ransomware na gumagamit ng mga taktika ng dobleng pangingikil ay lumitaw na may isang serye ng mga pag-atake sa loob ng maikling panahon. Ang entity na ito ay nagpapakilala ng isang makabagong locker malware na tinatawag na LukaLocker Ransomware, na nilagyan ng iba't ibang mga diskarte sa pag-iwas upang i-obfuscate ang mga operasyon nito at hadlangan ang mga forensic na imbestigasyon. Kinilala ng mga mananaliksik bilang 'Volcano Demon,' ang isang cybercriminal group ay nakakuha ng atensyon para sa nobela nitong paggamit ng LukaLocker, na dati nang hindi nakikitang locker malware. Ang mga file na na-encrypt ng banta na ito ay idinagdag sa '.nba' extension.

Mga Taktika na Naobserbahan sa Mga Pag-atake ng Demonyong Bulkan

Gumagamit ang mga umaatake ng mga sopistikadong paraan ng pag-iwas, tulad ng pag-deploy ng kaunting pag-log ng biktima at mga solusyon sa pagsubaybay bago simulan ang mga pag-atake. Bukod pa rito, ginagamit nila ang 'nagbabantang' mga tawag sa telepono mula sa mga numero ng 'No Caller ID' upang pilitin ang mga biktima na magbayad ng ransom o mga tuntunin sa pakikipag-ayos.

Bago ang pagsasamantala, ang mga log ay sistematikong nililinis, na humahadlang sa komprehensibong pagsusuri ng forensic sa mga nakitang insidente. Ang grupong kilala bilang Volcano Demon, ay umiiwas sa pagpapanatili ng isang leak site sa kabila ng paggamit ng dobleng taktika ng pangingikil sa panahon ng operasyon nito.

Sa panahon ng kanilang mga pag-atake, ang Volcano Demon ay gumagamit ng mga nakompromisong kredensyal na administratibo na nakuha mula sa mga network ng biktima upang ipakilala ang isang variant ng Linux ng LukaLocker. Ang malware na ito ay epektibong nag-encrypt ng parehong Windows workstation at server. Bago mag-deploy ng ransomware, ang mga umaatake ay nag-exfiltrate ng data sa kanilang Command-and-Control server (C2), na nagpapahusay sa kanilang leverage sa mga double extortion na sitwasyon.

Inutusan ang mga biktima na makipag-ugnayan sa pamamagitan ng software ng pagmemensahe ng qTox at maghintay ng mga callback para sa teknikal na suporta, na nagpapahirap sa mga pagsisikap na masubaybayan ang mga komunikasyon sa pagitan ng mga umaatake at biktima.

Tinatanggal ng LukaLocker Ransomware ang Software ng Seguridad at Mga Lock ng Data

Ang LukaLocker Ransomware ay natuklasan noong Hunyo 2024 bilang isang x64 PE binary na binuo sa C++. Ayon sa mga mananaliksik, gumagamit ito ng API obfuscation at dynamic na resolusyon ng API upang takpan ang mga masasakit na operasyon nito, pag-iwas sa pagtuklas, pagsusuri at reverse engineering. Ginagamit ng ransomware ang Chacha8 cipher para sa pag-encrypt ng data nang maramihan. Bumubuo ito ng random na Chacha8 key at hindi gumagamit ng Elliptic-curve Diffie-Hellman (ECDH) key agreement algorithm sa Curve25519. Maaaring i-encrypt ang mga file nang buo o sa iba't ibang porsyento, tulad ng 50%, 20%, o 10%.

Sa pagpapatupad, maliban kung tinukoy ang '--sd-killer-off', agad na tinatanggal ng LukaLocker ang ilang kritikal na serbisyo sa seguridad at pagsubaybay sa buong network. Kabilang dito ang mga anti-malware at endpoint protection tool, backup at recovery solution, database software mula sa Microsoft, IBM, at Oracle, Microsoft Exchange Server, virtualization software at remote access at monitoring tools. Tinatapos din nito ang mga prosesong nauugnay sa mga Web browser, Microsoft Office, at iba't ibang cloud at remote access na application.

Paano Mas Mapoprotektahan ang Iyong Data at Mga Device mula sa Mga Banta sa Ransomware?

Para mas maprotektahan ang iyong data at mga device mula sa mga banta ng ransomware at malware, isaalang-alang ang pagpapatupad ng mga sumusunod na kasanayan:

• Na-update ang Mga Aplikasyon ng KeeYour : Regular na i-update ang iyong operating system, mga application, at software ng seguridad upang i-patch ang mga kahinaan na maaaring pagsamantalahan ng malware.
• Gumamit ng Malakas, Natatanging Mga Password : Gumamit ng mga kumplikadong password at palitan ang mga ito nang madalas. Pag-isipang maghanap ng tagapamahala ng password upang masubaybayan sila nang ligtas.
• Paganahin ang Multi-Factor Authentication (MFA) : Magdagdag ng karagdagang layer ng seguridad sa pamamagitan ng pagpapagana ng MFA sa mga account na sumusuporta dito, na nagpapahirap sa mga umaatake na makakuha ng hindi awtorisadong pag-access.
• Regular na Pag-backup ng Data : Lumikha at magpanatili ng mga regular na backup ng mahahalagang file. Mag-imbak ng mga backup sa isang hiwalay na lokasyon, offline man o sa cloud, upang magarantiya ang kanilang kaligtasan kahit na nakompromiso ang iyong pangunahing system.
• Maging Maingat sa Mga Email at Link : Iwasan ang pagbukas ng mga attachment o pagsunod sa mga link mula sa hindi kilalang o kahina-hinalang pinagmulan. I-verify ang pagkakakilanlan ng nagpadala bago makipag-ugnayan sa mga hindi inaasahang email.
• I-install at Panatilihin ang Security Software : Gumamit ng kagalang-galang na anti-malware software at panatilihin itong updated. Paganahin ang real-time na proteksyon at magpatakbo ng mga regular na pag-scan.
• I-secure ang Iyong Network : Gumamit ng malakas, natatanging password ng Wi-Fi at paganahin ang WPA3 encryption. Isaalang-alang ang pagtatatag ng guest network para sa mga bisita upang mapanatiling secure ang iyong pangunahing network.
• Huwag paganahin ang mga Macro sa Office Documents : Huwag paganahin ang mga macro sa mga dokumento ng Microsoft Office maliban kung partikular mong kailangan ang mga ito. Ang mga macro ay isang karaniwang paraan para sa pagkalat ng malware.
• Turuan ang Iyong Sarili at ang Iba : Manatiling may alam tungkol sa mga pinakabagong banta sa cybersecurity at pinakamahuhusay na kagawian. Turuan ang mga miyembro ng pamilya o kasamahan tungkol sa mga taktika ng phishing at ligtas na pag-uugali sa online.
• Gumamit ng Mga Firewall : Paganahin ang mga firewall sa iyong mga device at network upang harangan ang hindi awtorisadong pag-access at subaybayan ang papasok at papalabas na trapiko para sa kahina-hinalang aktibidad.

Sa pamamagitan ng pagsasama-sama ng mga diskarteng ito, ang panganib na mabiktima ng ransomware at iba pang banta ng malware ay maaaring mabawasan nang husto.