Търсене
Close this search box.

Атакуващите изчистват регистрите преди експлоатация и използват номера без идентификатор на обаждащия се, за да договарят откупи, което усложнява усилията за откриване и криминалистика.

На сцената се появи играч, който в рамките на две седмици извърши няколко атаки с цел двойно изнудване, като използва иновативен зловреден софтуер за заключване и множество тактики за избягване, за да прикрие следите си и да затрудни разследването от страна на експертите по сигурността.

Проследен като „Volcano Demon“ от изследователите от Halcyon, които са го открили, новооткритият противник се характеризира с невиждан досега зловреден софтуер за заключване, наречен LukaLocker, който криптира файловете на жертвите с разширение .nba, според публикация в блога, публикувана тази седмица.

Тактиките на нападателя за избягване включват инсталиране на ограничени решения за регистриране и наблюдение на жертвите преди експлоатацията и използване на „заплашителни“ телефонни обаждания от номера „No Caller ID“ за изнудване или договаряне на откуп.

„Логовете бяха изчистени преди експлоатацията и в двата случая не беше възможна пълна съдебна оценка поради успеха им в прикриването на следите“, пише в публикацията изследователският екип на Halcyon. Volcano Demon също така няма сайт за изтичане на данни, на който да публикува данните, които краде по време на атаките си, въпреки че използва двойно изнудване като тактика, казва екипът.

При атаките си Volcano Demon използва общи административни данни, събрани от мрежите на жертвите си, за да зареди Linux версия на LukaLocker, след което успешно заключва работни станции и сървъри с Windows. Нападателите също така са ексфилтрирали данни от мрежата към собствения си сървър за управление и контрол (C2) преди внедряването на ransomware, за да могат да използват двойно изнудване.

В бележката с искане за откуп жертвите са инструктирани да се свържат с нападателите чрез софтуера за съобщения qTox и след това да изчакат техническата поддръжка да им се обади обратно, което затруднява проследяването на комуникацията между страните, според Halcyon.

Остатъци от Conti?

Изследователите на Halcyon за първи път са открили образец на това, което сега наричат LukaLocker, на 15 юни, според публикацията. „Рансъмуерът е x64 PE двоичен файл, написан и компилиран с помощта на C++“, пише екипът. „LukaLocker ransomware използва API обфускация и динамично API разрешаване, за да прикрие зловредните си функционалности – избягвайки откриване, анализ и обратно инженерство.“

При изпълнение, освен ако не е посочено „–sd-killer-off“, LukaLocker незабавно прекратява някои услуги за сигурност и мониторинг, присъстващи в мрежата, подобно на и вероятно копирани от плодотворния, но вече несъществуващ рансъмуер Conti, според публикацията. Тези услуги включват различни антивирусни програми и защита на крайни точки; инструменти за архивиране и възстановяване; софтуер за бази данни от Microsoft, IBM и Oracle, наред с други; Microsoft Exchange Server; софтуер за виртуализация; и инструменти за отдалечен достъп и мониторинг. Той прекратява и други процеси, включително уеб браузъри, Microsoft Office и софтуер за облачен и отдалечен достъп, като TeamViewer.

Локерът използва шифъра Chacha8 за шифроване на данни в големи количества, като генерира на случаен принцип ключа Chacha8 и нонсе чрез алгоритъма за съгласуване на ключове Elliptic-curve Diffie-Hellman (ECDH) върху Curve25519. Файловете могат да бъдат криптирани изцяло или в различни проценти, включително 50 %, 20 % или 10 %.

Изисква се бдителност

Поради широките възможности на Volcano Demon за избягване на атаките, за екипа на Halcyon беше трудно да направи пълен съдебен анализ на атаките; освен това изследователите не разкриха вида на организациите, към които е насочен този колектив. Halcyon обаче успя да идентифицира различни индикатори за компрометиране (IoC) на нападателите, някои от които бяха качени във Virus Total.

Тези IoC включват троянски кон, Protector.exe и криптираща програма Locker.exe. Криптографски файл за Linux, наречен Linux locker/bin, и скриптове от команден ред, които предхождат криптирането, Reboot.bat, също са отличителни белези на атака от новия изпълнител на ransomware.

Тъй като ransomware остава широко разпространена и разрушителна заплаха за световните организации въпреки различните репресии на правоприлагащите органи, които ликвидираха водещи киберпрестъпни банди, се изисква бдителност сред отговорните за защитата на мрежите. Като се има предвид, че Volcano Demon използва административните пароли за мрежите на организациите като първоначално средство за експлоатация, защитни тактики като многофакторна автентикация (MFA) и обучение на служителите за идентифициране на фишинг кампаниите, които предоставят идентификационни данни в ръцете на нападателите, могат да помогнат за избягване на компрометирането.

 

Източник: DARKReading

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!