Detecção do Ataque de Ransomware Volcano Demon: Adversários Aplicam um Novo Malware LukaLocker Exigindo Resgate por Chamadas Telefônicas
Índice:
Novos mantenedores de ransomware surgiram rapidamente no cenário de ameaças cibernéticas, empregando malware de bloqueio inovador e uma variedade de táticas de evasão de detecção. A gangue de ransomware apelidada de “Volcano Demon” utiliza o novo malware LukaLocker e exige pagamento de resgate por meio de chamadas telefônicas para executivos de TI e tomadores de decisão.
Detectar Ataques de Ransomware Volcano Demon
O ransomware continua sendo uma das maiores ameaças para os defensores cibernéticos, com mais de 300 milhões de tentativas de ataque lançadas em 2023 e o pagamento médio de resgate aumentando 500% no último ano. Novas cepas de ransomware continuam surgindo consistentemente; portanto, os defensores cibernéticos precisam de ferramentas avançadas de detecção e caça de ameaças para se manterem à frente das ameaças potenciais.
Confie na Plataforma da SOC Prime para defesa coletiva para detectar atividades maliciosas associadas a várias gangues de ransomware, incluindo o novo grupo Volcano Demon que está visando usuários com o LukaLocker. Especificamente, a regra do nosso experiente desenvolvedor do Threat Bounty Emir Erdogan ajuda a identificar atividades de parada de serviço e reinício de dispositivo do grupo de ransomware Volcano Demon com a ajuda de parâmetros de linha de comando.
Possível Atividade Suspeita de Ransomware Volcano Demon (LukaLocker) (via commandLine)
A regra acima é compatível com 27 Plataformas SIEM, EDR e Data Lake e está mapeada para o framework MITRE ATT&CK®, abordando a tática de Impacto, com Parada de Serviço (T1489) como a principal técnica.
Para se aprofundar na pilha de regras voltadas para a detecção de ataques de ransomware, clique no Explorar Detecções botão abaixo. Todos os algoritmos são enriquecidos com metadados extensivos, incluindo referências ATT&CK, links CTI, cronogramas de ataque, recomendações de triagem e outros detalhes relevantes para uma investigação de ameaças simplificada.
Ansioso para se juntar à iniciativa de crowdsourcing da SOC Prime? Praticantes de cibersegurança qualificados que buscam enriquecer suas habilidades de Engenharia de Detecção e Caça de Ameaças podem se juntar às fileiras do nosso Programa de Threat Bounty para fazer sua própria contribuição à expertise coletiva da indústria. A participação no Programa permite que os autores de conteúdo de detecção monetizem suas habilidades profissionais enquanto ajudam a construir um futuro digital mais seguro.
Análise de Ataque do Grupo de Ransomware Volcano Demon
Pesquisadores da Halcyon recentemente detectaram novos operadores de ransomware de dupla extorsão, rastreados como Volcano Demon, por trás de uma série de ataques nas duas últimas semanas. Os adversários aproveitam uma iteração Linux do ransomware LukaLocker que criptografa arquivos direcionados com a extensão .nba. O Volcano Demon também emprega um conjunto de técnicas de adversário para se manter fora do radar e dificultar as medidas defensivas. O ransomware LukaLocker usado pelos adversários é um binário PE x64 escrito e compilado na linguagem de programação C++. Ele utiliza ofuscação de API e resolução dinâmica de API para ocultar suas funções ofensivas, tornando difícil detectá-lo, analisá-lo e revertê-lo.
O Volcano Demon consegue bloquear tanto estações de trabalho quanto servidores Windows aplicando credenciais de administrador comuns. Antes do ataque, adversários exfiltram dados para serviços C2 para dupla extorsão.
Nos ataques observados Volcano Demon , operadores de ransomware limpam logs antes da exploração, dificultando os esforços de detecção e forense. Notavelmente, eles não apresentam um site de vazamento e aproveitam números de ID de chamada não identificados para ligar para as vítimas e negociar pagamentos de resgate. Com base na análise do ataque, pesquisadores também descobriram uma iteração baseada em Linux do LukaLocker.
Com o ransomware permanecendo uma ameaça desafiadora e disruptiva para organizações globais, junto com a sofisticação crescente de suas capacidades ofensivas e métodos avançados de evasão de detecção, a vigilância cibernética é de máxima prioridade. A plataforma da SOC Prime para defesa cibernética coletiva baseada em inteligência de ameaças global, crowdsourcing, confiança zero e tecnologias movidas por IA é destinada a ajudar organizações globais a identificar intrusões em tempo hábil e fortalecer continuamente a postura de cibersegurança da organização.
