Détection des Attaques Ransomware Volcano Demon : Les Adversaires Utilisent un Nouveau Malware LukaLocker Réclamant une Rançon par Appels Téléphoniques
Table des matières :
De nouveaux gestionnaires de ransomware ont rapidement émergé dans le domaine des cybermenaces, employant des logiciels malveillants innovants et diverses tactiques d’évasion de détection. Le gang de ransomwares surnommé « Volcano Demon » utilise le nouveau malware LukaLocker et exige des paiements de rançon via des appels téléphoniques aux dirigeants et décideurs informatiques.
Détecter les attaques de ransomware Volcano Demon
Les ransomwares restent l’une des principales menaces pour les cyberdéfenseurs, avec plus de 300 millions de tentatives d’attaques lancées en 2023 et le paiement moyen de rançon augmentant de 500 % l’année dernière. De nouvelles souches de ransomware continuent à émerger régulièrement ; par conséquent, les cyberdéfenseurs ont besoin d’outils avancés de détection des menaces et de chasse pour rester au-dessus des menaces potentielles.
Fiez-vous à la plate-forme de SOC Prime pour la défense collective afin de détecter les activités malveillantes associées à divers groupes de ransomwares, y compris le nouveau groupe Volcano Demon ciblant les utilisateurs avec LukaLocker. Plus précisément, la règle par notre développeur expérimenté de Threat Bounty Emir Erdogan aide à identifier les activités d’arrêt de service et de redémarrage de périphérique du groupe de ransomware Volcano Demon grâce à l’utilisation de paramètres en ligne de commande.
Activité suspecte possible de ransomware Volcano Demon (LukaLocker) (via commandLine)
La règle ci-dessus est compatible avec 27 plateformes SIEM, EDR et Data Lake et est mappée au cadre MITRE ATT&CK®, en abordant la tactique de l’impact, avec l’arrêt des services (T1489) comme technique principale.
Pour approfondir la pile de règles destinée à la détection des attaques de ransomware, cliquez sur le Explorer les détections bouton ci-dessous. Tous les algorithmes sont enrichis avec des métadonnées étendues, y compris les références ATT&CK, les liens CTI, les chronologies d’attaques, les recommandations de triage et d’autres détails pertinents pour une enquête sur les menaces rationalisée.
Envie de rejoindre l’initiative de crowdsourcing de SOC Prime ? Les praticiens en cybersécurité qualifiés cherchant à enrichir leurs compétences en ingénierie de détection et en chasse aux menaces peuvent rejoindre les rangs de notre Programme de Prime de Menace pour apporter leur propre contribution à l’expertise collective de l’industrie. La participation au programme permet aux auteurs de contenu de détection de monétiser leurs compétences professionnelles tout en aidant à construire un avenir numérique plus sûr.
Analyse d’attaque du groupe de ransomware Volcano Demon
Les chercheurs de Halcyon ont récemment détecté de nouveaux opérateurs de ransomware à double extorsion, suivis sous le nom de Volcano Demon, derrière une série d’attaques au cours des deux dernières semaines. Les adversaires profitent d’une version Linux du ransomware LukaLocker qui chiffre les fichiers ciblés avec l’extension de fichier .nba. Volcano Demon utilise également un ensemble de techniques adverses pour rester sous le radar et entraver les mesures défensives. Le ransomware LukaLocker utilisé par les adversaires est un binaire PE x64 écrit et compilé en langage de programmation C++. Il utilise l’obfuscation API et la résolution API dynamique pour masquer ses fonctions offensives, rendant sa détection, son analyse et son ingénierie inverse difficiles.
Volcano Demon parvient à verrouiller à la fois les postes de travail Windows et les serveurs en utilisant des identifiants administratifs communs. Avant l’attaque, les adversaires exfiltrent des données vers des services C2 pour une double extorsion.
Dans les attaques de Volcano Demon observées, les opérateurs de ransomware effacent les journaux avant l’exploitation, entravant les efforts de détection et de forensic. Notamment, ils n’ont pas de site de fuite et utilisent des numéros d’ID d’appelant non identifiés pour contacter les victimes et négocier les paiements de rançon. Basés sur l’analyse des attaques, les chercheurs ont également découvert une version basée sur Linux de LukaLocker.
Avec les ransomwares restant une menace difficile et perturbatrice pour les organisations mondiales, couplés à la sophistication accrue de ses capacités offensives et des méthodes avancées d’évasion de détection, la vigilance cyber est de la plus haute priorité. La plate-forme de SOC Prime pour la défense cyber collective basée sur l’intelligence des menaces mondiale, le crowdsourcing, la confiance zéro et les technologies alimentées par l’IA est destinée à aider les organisations mondiales à identifier à temps les intrusions et à renforcer continuellement leur posture de cybersécurité.
