Phần mềm tống tiền LockBeast

Đến năm Mezo năm Phần mềm tống tiền

Dịch sang:

Ransomware vẫn là một trong những mối đe dọa mạng gây gián đoạn nghiêm trọng nhất cho cả tổ chức và người dùng cá nhân. Chỉ một cuộc xâm nhập thành công cũng có thể khóa dữ liệu quan trọng của doanh nghiệp, làm gián đoạn hoạt động và gây ra các nỗ lực ứng phó và phục hồi sự cố tốn kém. Việc xây dựng hệ thống phòng thủ nhiều lớp và sẵn sàng ứng phó trước khi bùng phát dịch bệnh chính là sự khác biệt giữa một sự kiện được kiểm soát và một cuộc khủng hoảng.

TÓM TẮT MỐI ĐE DỌA

Sau khi thực thi LockBeast Ransomware, nó sẽ mã hóa dữ liệu người dùng, sửa đổi tên tệp để nhúng mã định danh nạn nhân và gửi một thông báo đòi tiền chuộc có tiêu đề 'README.TXT'. Kẻ tấn công kết hợp mã hóa với hành vi đánh cắp dữ liệu để gây áp lực buộc nạn nhân phải trả tiền, đồng thời đe dọa sẽ tiết lộ thông tin nhạy cảm nếu không liên lạc được trong khoảng thời gian quy định.

QUY TRÌNH MÃ HÓA VÀ ĐỔI TÊN TỆP

Trong quá trình mã hóa, LockBeast sẽ thêm cả ID cụ thể của nạn nhân và phần mở rộng '.lockbeast' vào các tệp mục tiêu. Ví dụ: '1.png' trở thành '1.png.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast', và '2.pdf' trở thành '2.pdf.{ED08A034-A9A0-4195-3CC2-81B2521AD6B5}.lockbeast'. Mẫu này cho phép kẻ tấn công theo dõi từng nạn nhân và xác nhận thanh toán trước khi cung cấp bất kỳ khả năng giải mã nào. Quy trình mã hóa này nhằm mục đích bao phủ nhiều loại dữ liệu, bao gồm tài liệu, cơ sở dữ liệu, kho lưu trữ, phương tiện và kho lưu trữ mã nguồn.

THÔNG BÁO TIỀN CHUỘC VÀ CHIẾN THUẬT TỐC KÉP

Ghi chú 'README.TXT' khẳng định rằng tất cả các tệp quan trọng đều không khả dụng và tuyên bố các dữ liệu nhạy cảm, chẳng hạn như lịch sử giao dịch, thông tin nhận dạng cá nhân (PII) của khách hàng, thông tin thẻ thanh toán và số dư tài khoản, sẽ bị đánh cắp vào cơ sở hạ tầng của kẻ tấn công. Ghi chú cung cấp thông tin liên lạc qua các ứng dụng nhắn tin tập trung vào quyền riêng tư (Session và Tox), cảnh báo không đổi tên tệp hoặc sử dụng trình giải mã của bên thứ ba, và đặt ra thời hạn bảy ngày trước khi công bố dữ liệu. Điều này kết hợp hình thức tống tiền mã hóa tệp cổ điển với các mối đe dọa rò rỉ thông tin công khai để gia tăng áp lực. Việc trả tiền chuộc vẫn còn rủi ro: không có gì đảm bảo việc giải mã thành công, khôi phục dữ liệu hoàn toàn hoặc xóa thông tin bị đánh cắp ngay cả khi tiền chuộc được gửi đi.

CÁC VECTƠ TRUY CẬP VÀ PHÂN PHỐI BAN ĐẦU

Các phương thức lây lan được quan sát và có khả năng xảy ra phù hợp với các hoạt động ransomware phổ biến. Kẻ tấn công gieo rắc mã độc thông qua tệp đính kèm hoặc liên kết email độc hại, phần mềm và keygen bị trojan hóa hoặc vi phạm bản quyền, lừa đảo 'hỗ trợ' bằng kỹ thuật xã hội, và khai thác các lỗ hổng chưa được vá. Các con đường khác bao gồm chuyển hướng tự động hoặc quảng cáo độc hại, trình tải xuống của bên thứ ba, trang web bị xâm phạm hoặc trông giống, phương tiện lưu trữ di động bị nhiễm mã độc và chia sẻ tệp ngang hàng. Quá trình thực thi thường bắt đầu khi người dùng mở tệp thực thi, tệp lưu trữ, tài liệu Office, PDF hoặc tập lệnh bị cài bẫy.

HƯỚNG DẪN PHÒNG NGỪA VÀ DIỆT TRÙNG

Nếu nghi ngờ LockBeast đã lây nhiễm hệ thống, hãy hành động ngay lập tức. Cách ly các máy bị ảnh hưởng khỏi mạng (có dây và không dây) để ngăn chặn mã hóa thêm và lây lan ngang. Vô hiệu hóa ổ đĩa dùng chung và thu hồi các mã thông báo truy cập hoặc phiên truy cập đáng ngờ. Lưu giữ các hiện vật và nhật ký dễ bay hơi để phục vụ điều tra pháp y, sau đó loại bỏ phần mềm độc hại bằng giải pháp bảo mật đáng tin cậy, được cập nhật đầy đủ hoặc một môi trường ứng phó sự cố đã được chứng minh là an toàn. Chỉ khôi phục từ các bản sao lưu sạch, ngoại tuyến sau khi xác nhận mối đe dọa đã được loại bỏ; nếu không, việc tái nhiễm có thể mã hóa lại dữ liệu đã khôi phục.

PHỤC HỒI VÀ TÁC ĐỘNG KINH DOANH

Việc giải mã mà không có công cụ của kẻ tấn công thường không khả thi trừ khi có bản sao lưu. Ưu tiên khôi phục các dịch vụ quan trọng nhất từ các ảnh chụp nhanh không thể thay đổi hoặc ngoại tuyến. Hãy coi bất kỳ khiếu nại rò rỉ dữ liệu nào là đáng tin cậy cho đến khi có bằng chứng chứng minh ngược lại: đánh giá dữ liệu nào có thể đã bị lộ, chuẩn bị thông báo nếu luật pháp hoặc hợp đồng yêu cầu, và giám sát việc lạm dụng (ví dụ: gian lận đối với khách hàng).

ĐIỂM QUYẾT ĐỊNH VỀ VIỆC THANH TOÁN

Mặc dù mỗi sự cố đều có những cân nhắc riêng về mặt vận hành và pháp lý, việc trả tiền chuộc lại là nguồn tài trợ cho hoạt động tội phạm và không đảm bảo dữ liệu được khôi phục hoàn toàn hoặc không bị tiết lộ. Hãy cân nhắc các phương án thay thế trước: khôi phục từ bản sao lưu, tái tạo một phần dữ liệu và các biện pháp bảo vệ khách hàng.

KẾT LUẬN

LockBeast kết hợp mã hóa mạnh mẽ với các mối đe dọa rò rỉ dữ liệu để ép buộc nạn nhân. Việc cô lập nhanh chóng, xóa bỏ triệt để và sao lưu ngoại tuyến đáng tin cậy là rất quan trọng để phục hồi. Về lâu dài, các tổ chức đầu tư vào việc vá lỗi, đặc quyền tối thiểu, kiểm soát email và web mạnh mẽ, cùng với khả năng sẵn sàng ứng phó sự cố thực tế sẽ giảm đáng kể cả khả năng xảy ra và tác động của các sự cố ransomware.

tin nhắn

Các thông báo sau được liên kết với Phần mềm tống tiền LockBeast đã được tìm thấy:

YOUR FILES ARE ENCRYPTED AND CONDIDENTIAL DATA HAS BEEN STOLEN

All your documents, databases, source codes and other important files are now inaccessible.
They are protected by military standard encryption algorigthms that cannot be broken without a special key.

In addition, some of your data has been copied and is on our servers.
- and much more...
The stolen data contains information about transactions made in your applications, personal data of your customers, including full names, contact details, document numbers, their card numbers in your casino and their balance.
If you refuse to deal with us, we will publicly post your confidential information on our blog.

Our group is not politically motivated, we just love money like all people.
Instead of paying huge fines, getting sued by employees and customers, you can simply write to us and negotiate a deal.

How our negotiations with you will proceed:
1. You contact us at the contacts listed below and send us your personal decryption id.
2. We will show you what data we stole from you and decrypt 1 test file of your choice so you know that all your files are recoverable.
3. We will negotiate a ransom price with you and you pay it.
4. We give you a decryptor for your data, as well as logs of secure deletion all your data.
5. We give you a technical report on how your network was infiltrated.

YOUR PERSONAL ID: -

OUR CONTACTS:
1. SESSION
Download Session Messenger (hxxps://getsession.org/)
Our Session ID:
0528d01425626aa9727970af4010c22f5ec5c3c1e7cd21cbecc762b88deb83d03c

2. TOX MESSENGER
Download Tox (hxxps://tox.chat/)
Our Tox ID:
D29B1DD9540EFCC4A04F893B438956A0354A66A31277B65125E7C4BF2E092607338C93FDE53D

Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not contact us within 7 days, we will post your sensitive data on our blog and report the leak to your partners, customers, employees, as well as to regulators and the media.