Phần mềm tống tiền LukaLocker

Một tác nhân ransomware mới sử dụng chiến thuật tống tiền kép đã xuất hiện với hàng loạt cuộc tấn công trong thời gian ngắn. Thực thể này giới thiệu một loại phần mềm độc hại có khóa cải tiến có tên là LukaLocker Ransomware, được trang bị nhiều kỹ thuật trốn tránh khác nhau để làm xáo trộn hoạt động của nó và cản trở các cuộc điều tra pháp y. Được các nhà nghiên cứu xác định là 'Quỷ núi lửa', một nhóm tội phạm mạng đã thu hút sự chú ý nhờ cách sử dụng mới lạ của LukaLocker, một phần mềm độc hại khóa chưa từng thấy trước đây. Các tệp bị mã hóa bởi mối đe dọa này được gắn thêm phần mở rộng '.nba'.

Chiến thuật được quan sát trong các cuộc tấn công của quỷ núi lửa

Những kẻ tấn công sử dụng các phương pháp trốn tránh tinh vi, chẳng hạn như triển khai các giải pháp giám sát và ghi nhật ký nạn nhân ở mức tối thiểu trước khi bắt đầu các cuộc tấn công. Ngoài ra, chúng sử dụng các cuộc gọi điện thoại 'đe dọa' từ các số 'Không có ID người gọi' để ép nạn nhân trả tiền chuộc hoặc thương lượng các điều khoản.

Trước khi khai thác, nhật ký sẽ bị xóa một cách có hệ thống, cản trở việc phân tích pháp y toàn diện trong các sự cố được phát hiện. Nhóm được gọi là Quỷ núi lửa, không chịu duy trì một địa điểm rò rỉ mặc dù đã sử dụng chiến thuật tống tiền kép trong quá trình hoạt động của mình.

Trong các cuộc tấn công của mình, Volcano Demon sử dụng thông tin đăng nhập quản trị bị xâm phạm thu được từ mạng nạn nhân để giới thiệu một biến thể Linux của LukaLocker. Phần mềm độc hại này mã hóa hiệu quả cả máy trạm và máy chủ Windows. Trước khi triển khai ransomware, những kẻ tấn công sẽ lọc dữ liệu đến máy chủ Chỉ huy và Kiểm soát (C2) của chúng, tăng cường đòn bẩy của chúng trong các tình huống tống tiền kép.

Nạn nhân được hướng dẫn liên lạc qua phần mềm nhắn tin qTox và chờ cuộc gọi lại để được hỗ trợ kỹ thuật, làm phức tạp thêm nỗ lực theo dõi liên lạc giữa những kẻ tấn công và nạn nhân.

Phần mềm tống tiền LukaLocker chấm dứt phần mềm bảo mật và khóa dữ liệu

Phần mềm tống tiền LukaLocker được phát hiện vào tháng 6 năm 2024 dưới dạng tệp nhị phân x64 PE được phát triển bằng C++. Theo các nhà nghiên cứu, nó sử dụng tính năng xáo trộn API và phân giải API động để che giấu các hoạt động gây tổn hại, trốn tránh sự phát hiện, phân tích và kỹ thuật đảo ngược. Phần mềm ransomware sử dụng mật mã Chacha8 để mã hóa dữ liệu hàng loạt. Nó tạo ra một khóa Chacha8 ngẫu nhiên và một khóa nonce bằng cách sử dụng thuật toán thỏa thuận khóa Diffie-Hellman (ECDH) đường cong Elliptic trên Curve25519. Các tệp có thể được mã hóa hoàn toàn hoặc ở các tỷ lệ phần trăm khác nhau, chẳng hạn như 50%, 20% hoặc 10%.

Sau khi thực thi, trừ khi '--sd-killer-off' được chỉ định, LukaLocker sẽ ngay lập tức chấm dứt một số dịch vụ giám sát và bảo mật quan trọng trên mạng. Chúng bao gồm các công cụ chống phần mềm độc hại và bảo vệ điểm cuối, giải pháp sao lưu và phục hồi, phần mềm cơ sở dữ liệu của Microsoft, IBM và Oracle, Microsoft Exchange Server, phần mềm ảo hóa cũng như các công cụ giám sát và truy cập từ xa. Nó cũng chấm dứt các quy trình liên quan đến trình duyệt Web, Microsoft Office và các ứng dụng truy cập từ xa và đám mây khác nhau.

Làm cách nào để bảo vệ dữ liệu và thiết bị của bạn tốt hơn khỏi các mối đe dọa từ ransomware?

Để bảo vệ dữ liệu và thiết bị của bạn tốt hơn khỏi các mối đe dọa từ phần mềm tống tiền và phần mềm độc hại, hãy cân nhắc triển khai các biện pháp sau:

• Cập nhật ứng dụng KeeYour : Thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm bảo mật của bạn để vá các lỗ hổng có thể bị phần mềm độc hại khai thác.
• Sử dụng mật khẩu mạnh, độc đáo : Sử dụng mật khẩu phức tạp và thay đổi chúng thường xuyên. Hãy cân nhắc việc tìm một trình quản lý mật khẩu để theo dõi chúng một cách an toàn.
• Bật xác thực đa yếu tố (MFA) : Thêm một lớp bảo mật bổ sung bằng cách bật MFA trên các tài khoản hỗ trợ nó, khiến kẻ tấn công khó truy cập trái phép hơn.
• Sao lưu dữ liệu thường xuyên : Tạo và duy trì bản sao lưu thường xuyên các tập tin quan trọng. Lưu trữ các bản sao lưu ở một vị trí riêng biệt, ngoại tuyến hoặc trên đám mây, để đảm bảo an toàn cho chúng ngay cả khi hệ thống chính của bạn bị xâm phạm.
• Hãy thận trọng với email và liên kết : Tránh mở tệp đính kèm hoặc truy cập các liên kết từ các nguồn không xác định hoặc đáng ngờ. Xác minh danh tính người gửi trước khi tương tác với các email không mong muốn.
• Cài đặt và bảo trì phần mềm bảo mật : Sử dụng phần mềm chống phần mềm độc hại có uy tín và luôn cập nhật phần mềm này. Kích hoạt tính năng bảo vệ thời gian thực và chạy quét thường xuyên.
• Bảo mật mạng của bạn : Sử dụng mật khẩu Wi-Fi mạnh, duy nhất và bật mã hóa WPA3. Hãy cân nhắc việc thiết lập mạng khách cho khách truy cập để giữ an toàn cho mạng chính của bạn.
• Vô hiệu hóa Macro trong Tài liệu Office : Vô hiệu hóa macro trong tài liệu Microsoft Office trừ khi bạn đặc biệt cần chúng. Macro là một phương pháp phổ biến để phát tán phần mềm độc hại.
• Giáo dục bản thân và những người khác : Luôn cập nhật về các mối đe dọa an ninh mạng mới nhất và các phương pháp hay nhất. Hướng dẫn các thành viên gia đình hoặc đồng nghiệp về các chiến thuật lừa đảo và hành vi trực tuyến an toàn.
• Sử dụng tường lửa : Kích hoạt tường lửa trên thiết bị và mạng của bạn để chặn truy cập trái phép và giám sát lưu lượng truy cập đến và đi để phát hiện hoạt động đáng ngờ.

Bằng cách kết hợp các chiến lược này, nguy cơ trở thành nạn nhân của ransomware và các mối đe dọa phần mềm độc hại khác có thể giảm đáng kể.