Програма-вимагач LockBeast

До Mezo року в програми-вимагачі році

Перекласти на:

Програми-вимагачі залишаються однією з найбільш руйнівних кіберзагроз як для організацій, так і для домашніх користувачів. Одне успішне вторгнення може заблокувати критично важливі для бізнесу дані, зупинити операції та спровокувати дороговартісне реагування на інциденти та відновлення. Побудова багаторівневого захисту та готовності до реагування до спалаху є тією різницею між стриманою подією та кризою.

ЗВЕДЕННЯ ПРО ЗАГРОЗИ

Після запуску програма-вимагач LockBeast шифрує дані користувача, змінює імена файлів, щоб вбудувати ідентифікатор жертви, та надсилає повідомлення з вимогою викупу під назвою «README.TXT». Оператори поєднують шифрування з крадіжкою даних, щоб змусити жертв заплатити, погрожуючи витоком конфіденційної інформації, якщо контакт не буде встановлено протягом встановленого періоду.

РОБОЧИЙ ПОСЛІДОК ШИФРУВАННЯ ТА ПЕРЕЙМЕНУВАННЯ ФАЙЛІВ

Під час шифрування LockBeast додає до цільових файлів як ідентифікатор жертви, так і розширення «.lockbeast». Наприклад, «1.png» стає «1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast», а «2.pdf» стає «2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast». Цей шаблон дозволяє зловмисникам відстежувати окремих жертв і підтверджувати платіж, перш ніж надавати будь-які можливості розшифрування. Процедура шифрування спрямована на охоплення широкого спектру типів даних, включаючи документи, бази даних, архіви, медіа та сховища вихідного коду.

ЗАПИСКА ПРО ВИКУП ТА ТАКТИКА ПОДВІЙНОГО ВИМАГАННЯ

У примітці «README.TXT» стверджується, що всі важливі файли недоступні, і зазначається, що конфіденційні записи, такі як історія транзакцій, особиста інформація клієнтів, дані платіжних карток та баланси рахунків, були викрадені до інфраструктури зловмисника. У примітці надаються контактні дані через месенджери, орієнтовані на конфіденційність (Session та Tox), застерігається від перейменування файлів або використання сторонніх дешифраторів, а також встановлюється семиденний термін перед ймовірною публікацією даних. Це поєднує класичне вимагання шифрування файлів із загрозами публічного витоку інформації для посилення тиску. Платіжні дії залишаються ризикованими: немає гарантії успішного розшифрування, повного відновлення даних або видалення викраденої інформації, навіть якщо буде надіслано викуп.

ПОЧАТКОВІ ВЕКТОРИ ДОСТУПУ ТА РОЗПОДІЛУ

Спостережувані та ймовірні методи доставки відповідають поширеним операціям програм-вимагачів. Зловмисники поширюють інфекції через шкідливі вкладення або посилання електронної пошти, троянське або піратське програмне забезпечення та кейгени, шахрайство з використанням соціальної інженерії для «підтримки» та використання невиправлених вразливостей. Додаткові шляхи включають перенаправлення з використанням шкідливої реклами, сторонні завантажувачі, скомпрометовані або схожі веб-сайти, заражені знімні носії та обмін файлами між користувачами. Виконання часто починається, коли користувач відкриває заражений виконуваний файл, архів, документ Office або PDF, або скрипт.

КЕРІВНИЦТВО ЩОДО СТРИМАННЯ ТА ВИКОРІНЕННЯ

Якщо є підозра, що LockBeast заразив систему, дійте негайно. Ізолюйте уражені машини від мережі (дротової та бездротової), щоб запобігти подальшому шифруванню та горизонтальному поширенню. Вимкніть спільні диски та скасуйте підозрілі токени доступу або сеанси. Збережіть леткі артефакти та журнали для експертизи, а потім видаліть шкідливе програмне забезпечення за допомогою надійного, повністю оновленого рішення безпеки або відомого середовища реагування на інциденти. Відновлюйте дані лише з чистих, офлайн-резервних копій після підтвердження усунення загрози; інакше повторне зараження може призвести до повторного шифрування відновлених даних.

ВІДНОВЛЕННЯ ТА ВПЛИВ НА БІЗНЕС

Розшифрування без інструментів зловмисників зазвичай неможливе, якщо немає резервних копій. Надайте пріоритет відновленню найважливіших сервісів із незмінних або офлайн-знімків. Ставтеся до будь-якого твердження про витік даних як достовірного, доки не буде доведено протилежне: оцініть, які дані могли бути розкриті, підготуйте сповіщення, якщо це вимагається законом або договором, та відстежуйте зловживання (наприклад, шахрайство проти клієнтів).

МОМЕНТИ РІШЕННЯ ЩОДО ОПЛАТИ

Хоча кожен інцидент має унікальні операційні та правові аспекти, виплата викупу фінансує злочинну діяльність і не гарантує повного відновлення даних або їх нерозголошення. Спочатку розгляньте альтернативи: відновлення з резервних копій, часткове відновлення даних та заходи захисту клієнтів.

ПІДСУМОК

LockBeast поєднує агресивне шифрування із загрозами витоку даних, щоб примусити жертв до дії. Швидка ізоляція, дисципліноване знищення та надійне резервне копіювання офлайн мають вирішальне значення для відновлення. У довгостроковій перспективі організації, які інвестують у встановлення виправлень, мінімальні привілеї, надійний контроль електронної пошти та веб-сайтів, а також реалістичну готовність до інцидентів, значно знижують як ймовірність, так і вплив подій, пов'язаних з програмами-вимагачами.

Повідомлення

Було знайдено такі повідомлення, пов’язані з Програма-вимагач LockBeast:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.