볼케이노 데몬 랜섬웨어 공격 탐지: 적들이 전화 요구로 몸값을 요구하는 새로운 루카로커 악성코드 적용

새로운 랜섬웨어 운영자들이 사이버 위협 영역에서 빠르게 등장하여 혁신적인 잠금형 악성코드와 다양한 탐지 회피 전술을 사용하고 있습니다. “Volcano Demon”이라 불리는 랜섬웨어 그룹은 새로운 LukaLocker 악성코드를 활용하며 IT 임원과 의사 결정자에게 전화로 몸값 지불을 요구합니다.

Volcano Demon 랜섬웨어 공격 탐지

랜섬웨어는 여전히 사이버 방어자들에게 가장 큰 위협 중 하나로, 2023년에 3억 건 이상의 공격 시도가 있었으며 지난 해 평균 몸값 지불이 500% 급증했습니다. 새로운 랜섬웨어 변종이 꾸준히 출현하고 있기 때문에, 사이버 방어자는 잠재적인 위협에 대비하기 위해 고급 위협 탐지 및 사냥 도구가 필요합니다.

각종 랜섬웨어 그룹과 관련된 악성 활동을 탐지하기 위해 SOC Prime의 플랫폼의 집단 방어를 활용하십시오. 특히, LukaLocker로 사용자들을 겨냥하는 새로운 Volcano Demon 그룹도 포함됩니다. 우리의 경험 많은 Threat Bounty 개발자의 규칙에 따라, Emir Erdogan Volcano Demon 랜섬웨어 그룹의 서비스 중지 및 장치 재시작 활동을 명령줄 매개변수의 도움으로 식별하는 데 도움을 줍니다.

가능한 Volcano Demon 랜섬웨어 (LukaLocker) 의심 활동 (명령줄을 통해)

위 규칙은 27개의 SIEM, EDR 및 데이터 레이크 플랫폼과 호환되며, MITRE ATT&CK® 프레임워크와 매핑되어 있으며, 주요 기술로서 서비스 중지 (T1489)를 포함하는 영향 전술을 다루고 있습니다.

랜섬웨어 공격 탐지를 목표로 한 규칙 스택을 더 깊이 탐구하려면 아래의 탐지 보기 버튼을 클릭하십시오. 모든 알고리즘은 광범위한 메타데이터, ATT&CK 참조, CTI 링크, 공격 타임라인, 우선 처리 권장 사항 및 위협 조사에 필요한 기타 관련 세부 사항으로 풍부하게 구성되어 있습니다.

탐지 보기

SOC Prime의 크라우드소싱 이니셔티브에 참여하고 싶으십니까? 자신의 탐지 엔지니어링 및 위협 사냥 기술을 향상시키고자 하는 숙련된 사이버 보안 전문가들은 우리의 Threat Bounty 프로그램 에 가입하여 집단 산업 전문성에 기여할 수 있습니다. 프로그램 참여는 탐지 콘텐츠 저자들이 자신의 전문 기술을 통화로 전환하고 더 안전한 디지털 미래를 구축하는 데 도움을 줄 수 있도록 합니다.

Volcano Demon 랜섬웨어 그룹 공격 분석

Halcyon 연구원들은 최근 2주 동안 시리즈 공격을 배후에서 수행한 Volcano Demon으로 추적된 새로운 이중 갈취 랜섬웨어 운영자를 발견했습니다. 적들은 .nba 파일 확장자로 대상 파일을 암호화하는 LukaLocker 랜섬웨어의 리눅스 버전을 이용합니다. Volcano Demon은 탐지 레이더 아래에 머물고 방어 수단을 방해하기 위해 일련의 적 기법을 사용합니다. 적들이 사용하는 LukaLocker 랜섬웨어는 C++ 프로그래밍 언어로 작성되고 컴파일된 x64 PE 바이너리입니다. API 난독화와 동적 API 해석을 활용하여 공격 기능을 숨기며 탐지, 분석 및 리버스 엔지니어링을 어렵게 만듭니다. have recently detected new double-extortion ransomware operators, tracked as Volcano Demon, behind a series of attacks in the past two weeks. Adversaries take advantage of a Linux iteration of LukaLocker ransomware that encrypts targeted files with the .nba file extension. Volcano Demon also employs a set of adversary techniques to stay under the radar and hinder defensive measures. The LukaLocker ransomware used by adversaries is an x64 PE binary written and compiled in the C++ programming language. It leverages API obfuscation and dynamic API resolution to hide its offensive functions, making it difficult to detect, analyze, and reverse engineer.

Volcano Demon은 일반적인 관리자 자격 증명을 적용하여 Windows 워크스테이션과 서버를 모두 잠글 수 있습니다. 공격 전에 적들은 이중 갈취를 위해 데이터를 C2 서비스로 유출합니다.

관찰된 Volcano Demon 공격에서 램섬웨어 운영자는 탐지와 포렌식 노력을 저지하기 위해 착취 전에 로그를 지웁니다. 특히, 그들은 유출 사이트를 가지고 있지 않으며 피해자와 협상하는 데에 식별되지 않은 발신자 번호를 사용합니다. 공격 분석에 따르면 연구원들은 또한 Linux 기반의 LukaLocker 버전을 발견했습니다.

글로벌 조직에 도전적이고 파괴적인 위협으로 랜섬웨어 가 남아있는 가운데, 공격적 능력의 복잡성 증가와 고급 탐지 회피 방법이 결합되어 사이버 경계는 최우선 과제가 됩니다. 글로벌 사이버 방어를 위한 SOC Prime의 플랫폼은 세계적 위협 인텔리전스, 크라우드소싱, 제로 트러스트, AI 기반 기술에 따라 글로벌 조직이 침입을 적시에 식별하고 지속적으로 조직의 사이버 보안 태세를 강화할 수 있도록 설계되었습니다.