Detección del Ataque de Ransomware Volcano Demon: Adversarios Aplican un Nuevo Malware LukaLocker Exigiendo Rescate a Través de Llamadas Telefónicas
Tabla de contenidos:
Nuevos mantenedores de ransomware han emergido rápidamente en el ámbito de las amenazas cibernéticas, empleando malware de bloqueo innovador y una variedad de tácticas para evadir la detección. La banda de ransomware llamada «Volcano Demon» utiliza el nuevo malware LukaLocker y exige el pago del rescate mediante llamadas telefónicas a ejecutivos de TI y tomadores de decisiones.
Detectar ataques de ransomware Volcano Demon
El ransomware sigue siendo una de las principales amenazas para los defensores cibernéticos, con más de 300 millones de intentos de ataque lanzados en 2023 y el pago de rescate promedio aumentando un 500% en el último año. Nuevas cepas de ransomware continúan surgiendo constantemente; por lo tanto, los defensores cibernéticos necesitan herramientas avanzadas de detección de amenazas y caza para mantenerse al tanto de posibles amenazas.
Confíe en la plataforma de SOC Prime para la defensa colectiva para detectar actividad maliciosa asociada con varias bandas de ransomware, incluido el nuevo grupo Volcano Demon que apunta a usuarios con LukaLocker. Específicamente, la regla de nuestro experimentado desarrollador de Threat Bounty Emir Erdogan ayuda a identificar actividades de detención de servicios y reinicio de dispositivos del grupo de ransomware Volcano Demon con la ayuda de parámetros de línea de comandos.
Posible actividad sospechosa de ransomware Volcano Demon (LukaLocker) (a través de commandLine)
La regla anterior es compatible con 27 plataformas SIEM, EDR y Data Lake y está mapeada al marco MITRE ATT&CK®, abordando la táctica de Impacto, con Detención de Servicios (T1489) como la técnica principal.
Para profundizar en el conjunto de reglas destinadas a la detección de ataques de ransomware, presione el Explorar Detecciones botón abajo. Todos los algoritmos están enriquecidos con metadatos extensos, incluidas referencias ATT&CK, enlaces CTI, líneas de tiempo de ataques, recomendaciones de triaje y otros detalles relevantes para una investigación de amenazas optimizada.
¿Desea unirse a la iniciativa de crowdsourcing de SOC Prime? Los practicantes de ciberseguridad capacitados que buscan enriquecer sus habilidades de Ingeniería de Detección y Caza de Amenazas pueden unirse a las filas de nuestro Programa de Threat Bounty para hacer su propia contribución al conocimiento colectivo de la industria. La participación en el programa permite a los autores de contenido de detección monetizar sus habilidades profesionales mientras ayudan a construir un futuro digital más seguro.
Análisis de ataques del grupo de ransomware Volcano Demon
Investigadores de Halcyon han detectado recientemente nuevos operadores de ransomware de doble extorsión, rastreados como Volcano Demon, detrás de una serie de ataques en las últimas dos semanas. Los adversarios aprovechan una iteración de Linux del ransomware LukaLocker que cifra archivos objetivos con la extensión .nba. Volcano Demon también emplea un conjunto de técnicas adversarias para permanecer bajo el radar y obstaculizar las medidas defensivas. El ransomware LukaLocker utilizado por los adversarios es un binario PE x64 escrito y compilado en el lenguaje de programación C++. Emplea la ofuscación de API y la resolución dinámica de API para ocultar sus funciones ofensivas, haciéndolo difícil de detectar, analizar y realizar ingeniería inversa.
Volcano Demon logra bloquear tanto estaciones de trabajo de Windows como servidores aplicando credenciales administrativas comunes. Antes del ataque, los adversarios exfiltran datos a servicios C2 para doble extorsión.
En los ataques observados de Volcano Demon , los operadores de ransomware limpian los registros antes de la explotación, obstaculizando los esfuerzos de detección y forenses. Notablemente, no cuentan con un sitio de filtración y se aprovechan de números de ID de llamadas no identificados para llamar a las víctimas y negociar pagos de rescate. Basado en el análisis del ataque, los investigadores también han descubierto una iteración de LukaLocker basada en Linux.
Con el ransomware permaneciendo como una amenaza desafiante y disruptiva para las organizaciones globales, junto con el aumento de la sofisticación de sus capacidades ofensivas y métodos avanzados de evasión de detección, la vigilancia cibernética es de máxima prioridad. La plataforma de SOC Prime para la defensa cibernética colectiva basada en inteligencia de amenazas global, crowdsourcing, confianza cero y tecnologías impulsadas por IA está destinada a ayudar a las organizaciones globales a identificar intrusiones a tiempo y fortalecer continuamente la postura de ciberseguridad de la organización.
