LukaLocker 勒索軟體

一種採用雙重勒索策略的新勒索軟體攻擊者在短時間內出現了一系列攻擊。該實體推出了一種名為 LukaLocker 勒索軟體的創新儲物櫃惡意軟體，配備各種規避技術來混淆其操作並阻礙取證調查。一個被研究人員稱為「火山惡魔」的網路犯罪組織因其對 LukaLocker（一種前所未見的儲物櫃惡意軟體）的新穎使用而引起了人們的關注。受此威脅加密的檔案會附加「.nba」副檔名。

火山惡魔襲擊中觀察到的戰術

攻擊者採用複雜的規避方法，例如在發動攻擊之前部署最少的受害者日誌記錄和監控解決方案。此外，他們還利用「無來電顯示」號碼的「威脅」電話來強迫受害者支付贖金或談判條件。

在利用之前，日誌會被系統性地清除，從而阻礙對偵測到的事件進行全面的取證分析。儘管在行動中採用了雙重勒索策略，但這個被稱為「火山惡魔」的組織並未維護洩漏站點。

在攻擊過程中，火山惡魔利用從受害者網路獲得的受損管理憑證引入了 LukaLocker 的 Linux 變體。此惡意軟體可有效加密 Windows 工作站和伺服器。在部署勒索軟體之前，攻擊者會將資料外洩到其命令與控制伺服器 (C2)，從而增強其在雙重勒索場景中的影響力。

受害者被指示透過 qTox 訊息軟體進行通信，並等待技術支援的回電，這使得追蹤攻擊者和受害者之間的通信變得更加複雜。

LukaLocker 勒索軟體終止安全軟體並鎖定數據

LukaLocker 勒索軟體於 2024 年 6 月被發現，是一個用 C++ 開發的 x64 PE 二進位。研究人員表示，它採用 API 混淆和動態 API 解析來掩蓋其有害操作，逃避偵測、分析和逆向工程。該勒索軟體使用 Chacha8 密碼批量加密資料。它使用 Curve25519 上的橢圓曲線 Diffie-Hellman (ECDH) 金鑰協商演算法產生隨機 Chacha8 金鑰和隨機數。文件可以完全加密，也可以以不同的百分比加密，例如 50%、20% 或 10%。

執行後，除非指定“--sd-killer-off”，否則 LukaLocker 會立即終止網路上的多個關鍵安全性和監控服務。其中包括反惡意軟體和端點保護工具、備份和復原解決方案、Microsoft、IBM 和 Oracle 的資料庫軟體、Microsoft Exchange Server、虛擬化軟體以及遠端存取和監控工具。它還終止與 Web 瀏覽器、Microsoft Office 以及各種雲端和遠端存取應用程式相關的進程。

如何更好地保護您的資料和裝置免受勒索軟體威脅？

為了更好地保護您的資料和設備免受勒索軟體和惡意軟體威脅，請考慮實施以下做法：

• 更新您的應用程式：定期更新您的作業系統、應用程式和安全軟體，以修補可能被惡意軟體利用的漏洞。
• 使用強而獨特的密碼：使用複雜的密碼並經常更改。考慮尋找密碼管理器來安全地追蹤它們。
• 啟用多重身份驗證 (MFA) ：透過在支援 MFA 的帳戶上啟用 MFA，增加額外的安全層，使攻擊者更難獲得未經授權的存取。
• 定期備份資料：建立並維護重要文件的定期備份。將備份儲存在單獨的位置（離線或雲端），以確保其安全，即使您的主系統受到損害。
• 謹慎對待電子郵件和連結：避免開啟附件或點擊來自未知或可疑來源的連結。在與意外電子郵件互動之前驗證寄件者的身分。
• 安裝和維護安全軟體：使用信譽良好的反惡意軟體軟體並保持更新。啟用即時保護並執行定期掃描。
• 保護您的網路：使用強大、獨特的 Wi-Fi 密碼並啟用 WPA3 加密。考慮為訪客建立訪客網絡，以確保您的主網路安全。
• 停用 Office 文件中的巨集：停用 Microsoft Office 文件中的宏，除非您特別需要它們。宏是傳播惡意軟體的常見方法。
• 教育自己和他人：隨時了解最新的網路安全威脅和最佳實踐。對家庭成員或同事進行網路釣魚策略和安全線上行為的教育。
• 使用防火牆：在您的裝置和網路上啟用防火牆以阻止未經授權的存取並監控傳入和傳出流量是否有可疑活動。

透過結合這些策略，可以大幅降低成為勒索軟體和其他惡意軟體威脅受害者的風險。