Erkennung von Volcano Demon Ransomware-Angriffen: Gegner setzen neue LukaLocker-Malware ein und fordern Lösegeld über Anrufe
Inhaltsverzeichnis:
Neue Ransomware-Maintainer sind rasch in der Cyberbedrohungsarena aufgetaucht und nutzen innovative Locker-Malware sowie eine Vielzahl von Taktiken zur Erkennungsevasion. Die als „Volcano Demon“ bezeichnete Ransomware-Bande nutzt neuartige LukaLocker-Malware und fordert Lösegeldzahlungen über Anrufe an IT-Führungskräfte und Entscheidungsträger.
Volcano Demon Ransomware-Angriffe erkennen
Ransomware bleibt eine der größten Bedrohungen für Cyberverteidiger, mit über 300 Millionen Angriffversuchen im Jahr 2023 und einer durchschnittlichen Lösegeldzahlung, die im letzten Jahr um 500 % gestiegen ist. Neue Ransomware-Varianten tauchen kontinuierlich auf; daher benötigen Cyberverteidiger fortschrittliche Bedrohungserkennungs- und Hunting-Tools, um potenzielle Bedrohungen im Griff zu behalten.
Verlassen Sie sich auf die Plattform von SOC Prime für kollektive Verteidigung, um bösartige Aktivitäten in Verbindung mit verschiedenen Ransomware-Banden zu erkennen, einschließlich der neuen Gruppe Volcano Demon, die Benutzer mit LukaLocker angreift. Insbesondere die Regel unseres erfahrenen Threat Bounty Entwicklers Emir Erdogan hilft, Dienststopps und Geräteneustart-Aktivitäten der Volcano Demon Ransomware-Gruppe mithilfe von Befehlszeilenparametern zu identifizieren.
Mögliche Volcano Demon Ransomware (LukaLocker) Verdächtige Aktivität (über commandLine)
Die oben genannte Regel ist kompatibel mit 27 SIEM-, EDR- und Datenlake-Plattformen und ist dem MITRE ATT&CK® Frameworkzugeordnet, wobei die Impact-Taktik mit dem Dienststopp (T1489) als Haupttechnik adressiert wird.
Um tiefer in den Regelstapel zur Ransomware-Erkennung einzutauchen, klicken Sie auf den Erkennung erkunden Button unten. Alle Algorithmen sind mit umfangreichen Metadaten angereichert, einschließlich ATT&CK-Referenzen, CTI-Links, Angriffstimmen, Entscheidungsfindungsempfehlungen und anderen relevanten Details für eine optimierte Bedrohungsuntersuchung.
Möchten Sie an der Crowdsourcing-Initiative von SOC Prime teilnehmen? Qualifizierte Cybersecurity-Praktiker, die ihre Fähigkeiten in der Detection Engineering und Threat Hunting erweitern möchten, können sich unserem Threat Bounty Program anschließen, um ihren eigenen Beitrag zur kollektiven Branchenexpertise zu leisten. Die Teilnahme am Programm ermöglicht es Inhalteentwicklern, ihre beruflichen Fähigkeiten zu monetarisieren und gleichzeitig dabei zu helfen, eine sicherere digitale Zukunft aufzubauen.
Volcano Demon Ransomware-Gruppe Angriffsanalyse
Halcyon-Forscher haben kürzlich neue Double-Extortion-Ransomware-Betreiber entdeckt, die als Volcano Demon verfolgt werden und hinter einer Reihe von Angriffen in den letzten zwei Wochen stehen. Gegner nutzen eine Linux-Version der LukaLocker Ransomware, die gezielte Dateien mit der .nba Dateierweiterung verschlüsselt. Volcano Demon verwendet auch eine Reihe von Techniken, um unter dem Radar zu bleiben und Abwehrmaßnahmen zu behindern. Die von Gegnern verwendete LukaLocker Ransomware ist eine x64 PE-Binärdatei, die in der Programmiersprache C++ geschrieben und kompiliert ist. Sie verwendet API-Verschleierung und dynamische API-Auflösung, um ihre offensiven Funktionen zu verbergen, was ihre Erkennung, Analyse und Reverse-Engineering erschwert.
Volcano Demon gelingt es, sowohl Windows-Arbeitsstationen als auch Server zu sperren, indem sie gängige Admin-Zugangsdaten verwenden. Vor dem Angriff extrahieren Gegner Daten zu C2-Diensten für Double-Extortion.
In den beobachteten Volcano Demon Angriffen löschen Ransomware-Betreiber die Protokolle vor der Ausbeutung, was die Erkennung und forensische Bemühungen erschwert. Bemerkenswert ist, dass sie keine Leak-Site haben und anonymisierte Anrufer-ID-Nummern nutzen, um Opfer anzurufen und über Lösegeldzahlungen zu verhandeln. Basierend auf der Angriffsanalyse haben Forscher auch eine Linux-basierte Iteration von LukaLocker entdeckt.
Mit Ransomware als anhaltender und destabilisierender Bedrohung für globale Organisationen, zusammen mit der erhöhten Komplexität ihrer offensiven Fähigkeiten und fortschrittlichen Erkennungsevasionsmethoden, hat Cyber-Wachsamkeit höchste Priorität. Die Plattform von SOC Prime für kollektive Cyberverteidigung basiert auf globaler Bedrohungsintelligenz, Crowdsourcing, Zero Trust und KI-gestützten Technologien und soll globalen Organisationen helfen, Eindringlinge rechtzeitig zu identifizieren und die Cybersicherheitslage der Organisation kontinuierlich zu stärken.
