Атакуващите изчистват регистрите преди експлоатация и използват номера без идентификатор на обаждащия се, за да договарят откупи, което усложнява усилията за откриване и криминалистика.

На сцената се появи играч, който в рамките на две седмици извърши няколко атаки с цел двойно изнудване, като използва иновативен зловреден софтуер за заключване и множество тактики за избягване, за да прикрие следите си и да затрудни разследването от страна на експертите по сигурността.

Проследен като „Volcano Demon“ от изследователите от Halcyon, които са го открили, новооткритият противник се характеризира с невиждан досега зловреден софтуер за заключване, наречен LukaLocker, който криптира файловете на жертвите с разширение .nba, според публикация в блога, публикувана тази седмица.

Тактиките на нападателя за избягване включват инсталиране на ограничени решения за регистриране и наблюдение на жертвите преди експлоатацията и използване на „заплашителни“ телефонни обаждания от номера „No Caller ID“ за изнудване или договаряне на откуп.

„Логовете бяха изчистени преди експлоатацията и в двата случая не беше възможна пълна съдебна оценка поради успеха им в прикриването на следите“, пише в публикацията изследователският екип на Halcyon. Volcano Demon също така няма сайт за изтичане на данни, на който да публикува данните, които краде по време на атаките си, въпреки че използва двойно изнудване като тактика, казва екипът.

При атаките си Volcano Demon използва общи административни данни, събрани от мрежите на жертвите си, за да зареди Linux версия на LukaLocker, след което успешно заключва работни станции и сървъри с Windows. Нападателите също така са ексфилтрирали данни от мрежата към собствения си сървър за управление и контрол (C2) преди внедряването на ransomware, за да могат да използват двойно изнудване.

В бележката с искане за откуп жертвите са инструктирани да се свържат с нападателите чрез софтуера за съобщения qTox и след това да изчакат техническата поддръжка да им се обади обратно, което затруднява проследяването на комуникацията между страните, според Halcyon.

Остатъци от Conti?

Изследователите на Halcyon за първи път са открили образец на това, което сега наричат LukaLocker, на 15 юни, според публикацията. „Рансъмуерът е x64 PE двоичен файл, написан и компилиран с помощта на C++“, пише екипът. „LukaLocker ransomware използва API обфускация и динамично API разрешаване, за да прикрие зловредните си функционалности – избягвайки откриване, анализ и обратно инженерство.“

При изпълнение, освен ако не е посочено „–sd-killer-off“, LukaLocker незабавно прекратява някои услуги за сигурност и мониторинг, присъстващи в мрежата, подобно на и вероятно копирани от плодотворния, но вече несъществуващ рансъмуер Conti, според публикацията. Тези услуги включват различни антивирусни програми и защита на крайни точки; инструменти за архивиране и възстановяване; софтуер за бази данни от Microsoft, IBM и Oracle, наред с други; Microsoft Exchange Server; софтуер за виртуализация; и инструменти за отдалечен достъп и мониторинг. Той прекратява и други процеси, включително уеб браузъри, Microsoft Office и софтуер за облачен и отдалечен достъп, като TeamViewer.

Локерът използва шифъра Chacha8 за шифроване на данни в големи количества, като генерира на случаен принцип ключа Chacha8 и нонсе чрез алгоритъма за съгласуване на ключове Elliptic-curve Diffie-Hellman (ECDH) върху Curve25519. Файловете могат да бъдат криптирани изцяло или в различни проценти, включително 50 %, 20 % или 10 %.

Изисква се бдителност

Поради широките възможности на Volcano Demon за избягване на атаките, за екипа на Halcyon беше трудно да направи пълен съдебен анализ на атаките; освен това изследователите не разкриха вида на организациите, към които е насочен този колектив. Halcyon обаче успя да идентифицира различни индикатори за компрометиране (IoC) на нападателите, някои от които бяха качени във Virus Total.

Тези IoC включват троянски кон, Protector.exe и криптираща програма Locker.exe. Криптографски файл за Linux, наречен Linux locker/bin, и скриптове от команден ред, които предхождат криптирането, Reboot.bat, също са отличителни белези на атака от новия изпълнител на ransomware.

Тъй като ransomware остава широко разпространена и разрушителна заплаха за световните организации въпреки различните репресии на правоприлагащите органи, които ликвидираха водещи киберпрестъпни банди, се изисква бдителност сред отговорните за защитата на мрежите. Като се има предвид, че Volcano Demon използва административните пароли за мрежите на организациите като първоначално средство за експлоатация, защитни тактики като многофакторна автентикация (MFA) и обучение на служителите за идентифициране на фишинг кампаниите, които предоставят идентификационни данни в ръцете на нападателите, могат да помогнат за избягване на компрометирането.