Програма-вимагач LukaLocker

З’явилася нова програма-вимагач, яка використовує тактику подвійного вимагання, здійснивши серію атак протягом короткого періоду часу. Ця організація представляє інноваційне зловмисне програмне забезпечення під назвою LukaLocker Ransomware, оснащене різними методами ухилення, щоб заплутати його операції та перешкодити судовим розслідуванням. Угруповання кіберзлочинців, яке дослідники ідентифікували як «Демона вулкана», привернуло увагу новим використанням LukaLocker, раніше невідомого зловмисного програмного забезпечення. Файли, зашифровані цією загрозою, додаються з розширенням «.nba».

Тактика, яка спостерігалася під час нападу демонів вулкана

Зловмисники використовують складні методи ухилення, наприклад розгортання мінімальних рішень для реєстрації жертв і моніторингу перед початком атак. Крім того, вони використовують «погрозливі» телефонні дзвінки з номерів «No Caller ID», щоб змусити жертв сплатити викуп або домовитися про умови.

Перед використанням журнали систематично очищаються, що перешкоджає комплексному криміналістичному аналізу виявлених інцидентів. Група, відома як «Демон вулкана», утримується від підтримки сайту витоку інформації, незважаючи на використання подвійної тактики вимагання під час своїх операцій.

Під час своїх нападів Volcano Demon використовує скомпрометовані облікові дані адміністратора, отримані з мереж жертви, щоб представити Linux-варіант LukaLocker. Ця шкідлива програма ефективно шифрує як робочі станції Windows, так і сервери. Перед розгортанням програми-вимагача зловмисники викрадають дані на свій сервер командування та керування (C2), підвищуючи свій вплив у сценаріях подвійного вимагання.

Жертви отримали вказівки спілкуватися через програмне забезпечення для обміну повідомленнями qTox і чекати зворотних дзвінків для технічної підтримки, що ускладнює спроби відстежити зв’язок між зловмисниками та жертвами.

Програма-вимагач LukaLocker завершує роботу програмного забезпечення безпеки та блокує дані

Програмне забезпечення-вимагач LukaLocker було виявлено в червні 2024 року як бінарний файл x64 PE, розроблений на C++. За словами дослідників, він використовує обфускацію API та динамічну роздільну здатність API, щоб приховати шкідливі операції, уникаючи виявлення, аналізу та зворотного проектування. Програма-вимагач використовує шифр Chacha8 для масового шифрування даних. Він генерує випадковий ключ Chacha8 і nonce, використовуючи алгоритм узгодження ключів Еліптичної кривої Діффі-Хеллмана (ECDH) над Curve25519. Файли можуть бути зашифровані повністю або з різним відсотком, наприклад 50%, 20% або 10%.

Після виконання, якщо не вказано '--sd-killer-off', LukaLocker негайно припиняє роботу кількох критично важливих служб безпеки та моніторингу в мережі. Сюди входять інструменти захисту від зловмисного програмного забезпечення та кінцевих точок, рішення для резервного копіювання та відновлення, програмне забезпечення для баз даних від Microsoft, IBM і Oracle, Microsoft Exchange Server, програмне забезпечення для віртуалізації та засоби віддаленого доступу та моніторингу. Він також припиняє процеси, пов’язані з веб-браузерами, Microsoft Office і різними хмарними програмами та програмами віддаленого доступу.

Як краще захистити свої дані та пристрої від загроз програм-вимагачів?

Щоб краще захистити свої дані та пристрої від загроз програм-вимагачів і зловмисного програмного забезпечення, подумайте про застосування таких практик:

• KeeYour Applications Updated : Регулярно оновлюйте свою операційну систему, програми та програмне забезпечення безпеки, щоб виправити вразливості, якими може скористатися зловмисне програмне забезпечення.
• Використовуйте надійні унікальні паролі : використовуйте складні паролі та часто змінюйте їх. Подумайте про те, щоб знайти менеджер паролів, щоб безпечно відстежувати їх.
• Увімкнути багатофакторну автентифікацію (MFA) : додайте додатковий рівень безпеки, увімкнувши MFA для облікових записів, які її підтримують, що ускладнить неавторизований доступ для зловмисників.
• Регулярне резервне копіювання даних : створюйте та підтримуйте регулярні резервні копії важливих файлів. Зберігайте резервні копії в окремому місці, офлайн або в хмарі, щоб гарантувати їх безпеку, навіть якщо вашу основну систему зламано.
• Будьте обережні з електронними листами та посиланнями : уникайте відкриття вкладень або переходу за посиланнями з невідомих або підозрілих джерел. Перевірте особу відправника, перш ніж взаємодіяти з неочікуваними електронними листами.
• Встановлюйте та обслуговуйте програмне забезпечення безпеки : використовуйте надійне програмне забезпечення для захисту від зловмисного програмного забезпечення та оновлюйте його. Увімкніть захист у реальному часі та запускайте регулярне сканування.
• Захистіть свою мережу : використовуйте надійний унікальний пароль Wi-Fi і ввімкніть шифрування WPA3. Розгляньте можливість створення гостьової мережі для відвідувачів, щоб захистити вашу основну мережу.
• Вимкнути макроси в документах Office : вимкніть макроси в документах Microsoft Office, якщо вони вам не потрібні. Макроси є поширеним методом розповсюдження шкідливих програм.
• Навчайте себе та інших : будьте в курсі останніх загроз кібербезпеці та найкращих практик. Навчіть членів родини або колег про тактику фішингу та безпечну поведінку в Інтернеті.
• Використовуйте брандмауери : увімкніть брандмауери на своїх пристроях і в мережі, щоб блокувати неавторизований доступ і контролювати вхідний і вихідний трафік на предмет підозрілої активності.

Поєднуючи ці стратегії, можна значно зменшити ризик стати жертвою програм-вимагачів та інших шкідливих програм.