Rilevamento di un Attacco Ransomware Volcano Demon: Gli Avversari Applicano un Nuovo Malware LukaLocker Richiedendo il Riscatto Tramite Telefonate
Indice:
Nuovi manutentori di ransomware sono emersi rapidamente nell’arena delle minacce informatiche, impiegando malware locker innovativi e una varietà di tattiche di evasione della rilevazione. La gang di ransomware soprannominata “Volcano Demon” sfrutta il nuovo malware LukaLocker e richiede il pagamento del riscatto tramite telefonate agli esecutivi IT e ai decision-maker.
Rileva gli attacchi ransomware Volcano Demon
Il ransomware rimane una delle principali minacce per i difensori informatici, con oltre 300 milioni di tentativi di attacco lanciati nel 2023 e il pagamento medio del riscatto in aumento del 500% nell’ultimo anno. Nuove varianti di ransomware continuano ad emergere costantemente; pertanto, i difensori informatici necessitano di strumenti avanzati di rilevazione delle minacce e di caccia per rimanere al passo con le minacce potenziali.
Affidati alla piattaforma di SOC Prime per la difesa collettiva per rilevare attività malevole associate a vari gruppi di ransomware, incluso il gruppo Volcano Demon che prende di mira gli utenti con LukaLocker. In particolare, la regola del nostro esperto sviluppatore di Threat Bounty Emir Erdogan aiuta a identificare le attività di arresto del servizio e riavvio del dispositivo del gruppo ransomware Volcano Demon con l’aiuto dei parametri della riga di comando.
Possibile attività sospetta di Volcano Demon Ransomware (LukaLocker) (tramite commandLine)
La regola sopra è compatibile con 27 piattaforme SIEM, EDR e Data Lake e mappata al framework MITRE ATT&CK®, affrontando la tattica di Impatto, con Stop del Servizio (T1489) come tecnica principale.
Per approfondire lo stack di regole mirato alla rilevazione degli attacchi ransomware, premi il pulsante Esplora Rilevamenti qui sotto. Tutti gli algoritmi sono arricchiti con ampi metadati, inclusi riferimenti ATT&CK, link CTI, cronologie di attacco, raccomandazioni per il triage e altri dettagli rilevanti per un’indagine sulle minacce senza intoppi.
Desiderosi di unirvi all’iniziativa di crowdsourcing di SOC Prime? I professionisti della cybersecurity desiderosi di arricchire le loro competenze in Detection Engineering e Threat Hunting possono unirsi ai ranghi del nostro Programma Threat Bounty per dare il loro contributo all’esperienza collettiva del settore. La partecipazione al Programma consente agli autori di contenuti di rilevazione di monetizzare le loro competenze professionali mentre aiutano a costruire un futuro digitale più sicuro.
Analisi degli attacchi del gruppo ransomware Volcano Demon
I ricercatori Halcyon hanno recentemente rilevato nuovi operatori di ransomware a doppia estorsione, tracciati come Volcano Demon, dietro una serie di attacchi nelle ultime due settimane. Gli avversari sfruttano una versione Linux del ransomware LukaLocker che cripta i file mirati con l’estensione .nba. Volcano Demon impiega anche un insieme di tecniche avversarie per rimanere sotto il radar e ostacolare le misure difensive. Il ransomware LukaLocker utilizzato dagli avversari è un binary PE x64 scritto e compilato nel linguaggio di programmazione C++. Sfrutta l’offuscamento delle API e la risoluzione dinamica delle API per nascondere le sue funzioni offensive, rendendolo difficile da rilevare, analizzare e decodificare.
Volcano Demon riesce a bloccare sia le workstation Windows che i server applicando credenziali amministrative comuni. Prima dell’attacco, gli avversari esfiltrano dati ai servizi C2 per una doppia estorsione.
Negli attacchi osservati di Volcano Demon , gli operatori di ransomware cancellano i log prima dello sfruttamento, ostacolando rilevamento e sforzi forensi. Notabilmente, non dispongono di un sito di divulgazione e sfruttano numeri ID chiamante non identificati per chiamare le vittime e negoziare pagamenti di riscatti. Basato sull’analisi degli attacchi, i ricercatori hanno anche scoperto una versione basata su Linux di LukaLocker.
Con il ransomware che rimane una minaccia sfidante e dirompente per le organizzazioni globali, insieme alla crescente sofisticazione delle sue capacità offensive e metodi avanzati di evasione della rilevazione, la vigilanza cibernetica è di massima priorità . La piattaforma di SOC Prime per la difesa informatica collettiva basata su intelligence sulle minacce globale, crowdsourcing, fiducia zero e tecnologie potenziate dall’IA è progettata per aiutare le organizzazioni globali a identificare tempestivamente le intrusioni e rafforzare continuamente la postura di cybersecurity dell’organizzazione.
