LukaLocker 勒索软件

一个新的勒索软件攻击者在短时间内发起了一系列攻击，他们采用双重勒索策略。该实体引入了一种名为 LukaLocker 勒索软件的创新型锁屏恶意软件，配备了各种规避技术来混淆其操作并阻碍取证调查。研究人员将这个网络犯罪团伙称为“火山恶魔”，该团伙因其对 LukaLocker 的新颖使用而备受关注，LukaLocker 是一种之前从未见过的锁屏恶意软件。被该威胁加密的文件附加了“.nba”扩展名。

火山恶魔袭击中观察到的战术

攻击者采用复杂的规避方法，例如在发起攻击之前部署最低限度的受害者日志记录和监控解决方案。此外，他们还利用“无来电显示”号码的“威胁”电话来胁迫受害者支付赎金或协商条款。

在利用之前，日志会被系统地清除，从而妨碍对检测到的事件进行全面的取证分析。这个被称为“火山恶魔”的组织在行动期间采用了双重勒索策略，但并未维护泄漏站点。

在攻击过程中，Volcano Demon 利用从受害者网络获取的被盗管理凭据来引入 LukaLocker 的 Linux 变体。该恶意软件可有效加密 Windows 工作站和服务器。在部署勒索软件之前，攻击者会将数据泄露到其命令和控制服务器 (C2)，从而增强其在双重勒索场景中的影响力。

受害者被指示通过 qTox 消息软件进行通信并等待技术支持回电，这使得追踪攻击者和受害者之间的通信变得更加困难。

LukaLocker 勒索软件会终止安全软件并锁定数据

LukaLocker 勒索软件于 2024 年 6 月被发现，是一个用 C++ 开发的 x64 PE 二进制文件。据研究人员称，它采用 API 混淆和动态 API 解析来掩盖其有害操作，从而逃避检测、分析和逆向工程。勒索软件使用 Chacha8 密码批量加密数据。它使用 Curve25519 上的椭圆曲线 Diffie-Hellman (ECDH) 密钥协商算法生成随机的 Chacha8 密钥和随机数。文件可以完全加密，也可以按不同的百分比加密，例如 50%、20% 或 10%。

执行后，除非指定“--sd-killer-off”，否则 LukaLocker 会立即终止整个网络中的几个关键安全和监控服务。这些服务包括反恶意软件和端点保护工具、备份和恢复解决方案、Microsoft、IBM 和 Oracle 的数据库软件、Microsoft Exchange Server、虚拟化软件以及远程访问和监控工具。它还会终止与 Web 浏览器、Microsoft Office 以及各种云和远程访问应用程序相关的进程。

如何更好地保护您的数据和设备免受勒索软件威胁？

为了更好地保护您的数据和设备免受勒索软件和恶意软件威胁，请考虑实施以下做法：

• 保持您的应用程序更新：定期更新您的操作系统、应用程序和安全软件，以修补可能被恶意软件利用的漏洞。
• 使用强大而独特的密码：使用复杂的密码并经常更改。考虑使用密码管理器来安全地跟踪它们。
• 启用多重身份验证 (MFA) ：通过在支持 MFA 的帐户上启用 MFA 来增加额外的安全性，使攻击者更难获得未经授权的访问。
• 定期备份数据：创建并定期备份重要文件。将备份存储在单独的位置（离线或云中），即使主系统受到威胁，也能保证其安全。
• 谨慎处理电子邮件和链接：避免打开附件或点击来自未知或可疑来源的链接。在与意外电子邮件互动之前，请验证发件人的身份。
• 安装和维护安全软件：使用信誉良好的反恶意软件并保持更新。启用实时保护并运行定期扫描。
• 保护您的网络：使用强大且独特的 Wi-Fi 密码并启用 WPA3 加密。考虑为访客建立访客网络，以确保您主网络的安全。
• 禁用 Office 文档中的宏：除非您特别需要，否则请禁用 Microsoft Office 文档中的宏。宏是传播恶意软件的常用方法。
• 教育自己和他人：随时了解最新的网络安全威胁和最佳做法。教育家人或同事了解网络钓鱼策略和安全的在线行为。
• 使用防火墙：在您的设备和网络上启用防火墙以阻止未经授权的访问并监控传入和传出流量是否存在可疑活动。

通过结合这些策略，可以大大降低成为勒索软件和其他恶意软件威胁的受害者的风险。