ボルケーノデーモン・ランサムウェア攻撃検出: 敵対勢力が電話で身代金を要求する新たなLukaLockerマルウェアを適用

新しいランサムウェアの管理者がサイバー脅威のアリーナに急速に出現し、革新的なロッカーマルウェアと多様な検出回避戦術を使用しています。「ボルケーノデーモン」と呼ばれるランサムウェアギャングは新しいLukaLockerマルウェアを利用し、ITエグゼクティブや意思決定者への電話による身代金の支払いを要求します。

ボルケーノデーモンランサムウェア攻撃の検出

ランサムウェアはサイバー防衛者にとって最大の脅威の一つであり、2023年には3億を超える攻撃試行が発生し、昨年の平均身代金支払いは500%増加しました。新しいランサムウェアの系統は一貫して出現し続けているため、サイバー防衛者は潜在的な脅威に対応するために高度な脅威検出とハンティングツールを必要とします。

SOC Primeのプラットフォームを利用して、様々なランサムウェアギャングに関連する悪意のある活動を検出し、特にユーザーをLukaLockerで標的にする新しいボルケーノデーモングループを含めて集団防衛を行ってください。特に、我々の経験豊富なThreat Bounty開発者 Emir Erdogan は、コマンドラインパラメータを利用してボルケーノデーモンランサムウェアグループのサービス停止とデバイス再起動の活動を特定するのを助けます。

ボルケーノデーモンランサムウェア（LukaLocker）疑わしい活動（コマンドライン経由）

上記のルールは27のSIEM、EDR、データレイクプラットフォームと互換性があり、 MITRE ATT&CK®フレームワークにマッピングされており、サービス停止（T1489）を主な技法とするインパクト戦術に対応しています。

ランサムウェア攻撃検出を目的としたルールスタックをさらに詳しく見るには、下記の 検出を探索 ボタンを押してください。全てのアルゴリズムは、ATT&CK参照、CTIリンク、攻撃タイムライン、トリアージ推奨事項、その他関連する詳細を含む豊富なメタデータで強化されています。

検出を探索

SOC Primeのクラウドソーシングイニシアチブに参加する気がありますか？検出エンジニアリングと脅威ハンティングスキルを向上させることを目指す熟練したサイバーセキュリティの専門家が我々の Threat Bountyプログラム に参加して、業界の集団専門知識への貢献を行うことができます。プログラムへの参加により、検出コンテンツの著者は専門スキルを収益化しながら、より安全なデジタル未来の構築を手助けできます。

ボルケーノデーモンランサムウェアグループ攻撃分析

Halcyonの研究者たちは、過去2週間の攻撃の背後にボルケーノデーモンと追跡される新しいダブルエクストーションランサムウェアオペレーターを最近発見しました。敵対者は.nbaファイル拡張子でターゲットファイルを暗号化するLukaLockerランサムウェアのLinuxバージョンを利用しています。ボルケーノデーモンはまた、多様な敵対者技術を駆使して検出を回避し防御手段を妨げます。敵対者が使用するLukaLockerランサムウェアはC++プログラミング言語で書かれたx64 PEバイナリで、APIの難読化と動的API解決を用いて攻撃機能を隠し、検出、分析、逆行工学を困難にしています。 have recently detected new double-extortion ransomware operators, tracked as Volcano Demon, behind a series of attacks in the past two weeks. Adversaries take advantage of a Linux iteration of LukaLocker ransomware that encrypts targeted files with the .nba file extension. Volcano Demon also employs a set of adversary techniques to stay under the radar and hinder defensive measures. The LukaLocker ransomware used by adversaries is an x64 PE binary written and compiled in the C++ programming language. It leverages API obfuscation and dynamic API resolution to hide its offensive functions, making it difficult to detect, analyze, and reverse engineer.

ボルケーノデーモンは共通の管理者資格情報を適用し、Windowsワークステーションとサーバーの両方をロックすることができます。攻撃前に、敵対者はデータをC2サービスに転送し、二重強奪を行います。

観測された ボルケーノデーモン 攻撃においては、ランサムウェアオペレーターが搾取前にログをクリアし、検出とフォレンジックの努力を妨げます。特に、彼らはデータ漏洩サイトを持たず、身代金交渉を行うために匿名の発信者ID番号を利用します。攻撃分析に基づき、研究者たちはLinuxベースのLukaLockerのバージョンも明らかにしました。

ランサムウェアの グローバル組織に対する挑戦的で破壊的な脅威であり続け、攻撃能力の高度化と先進的な検出回避手法が増加している中、サイバー監視は最優先事項です。 remaining a challenging and disruptive threat to global organizations, coupled with the increased sophistication of its offensive capabilties and advanced detection evasion methods, cyber vigilance is of top priority. グローバル脅威インテリジェンス、クラウドソーシング、ゼロトラストとAI駆動技術に基づくSOC Primeの集団サイバー防御プラットフォームは、グローバル組織が侵入をタイムリーに特定し、組織のサイバーセキュリティポスチャを継続的に強化するのに役立つことを目的としています。 based on global threat intelligence, crowdsourcing, zero trust, and AI-powered technologies is intended to help global organizations timely identify intrusions and continuously strengthen the organization’s cybersecurity posture.