LukaLocker Erpressersoftware

Ein neuer Ransomware-Akteur, der doppelte Erpressungstaktiken anwendet, ist mit einer Reihe von Angriffen innerhalb kurzer Zeit aufgetaucht. Diese Entität führt eine innovative Locker-Malware namens LukaLocker Ransomware ein, die mit verschiedenen Umgehungstechniken ausgestattet ist, um ihre Operationen zu verschleiern und forensische Untersuchungen zu behindern. Eine von Forschern als „Volcano Demon“ identifizierte Gruppe von Cyberkriminellen hat durch ihre neuartige Verwendung von LukaLocker, einer bisher unbekannten Locker-Malware, Aufmerksamkeit erregt. Die von dieser Bedrohung verschlüsselten Dateien werden mit der Erweiterung „.nba“ angehängt.

Bei den Angriffen der Vulkandämonen beobachtete Taktiken

Die Angreifer verwenden ausgefeilte Methoden, um Angriffe zu umgehen. So setzen sie beispielsweise vor Beginn der Angriffe minimale Protokollierungs- und Überwachungslösungen für Opfer ein. Darüber hinaus nutzen sie „drohende“ Telefonanrufe von Nummern ohne Anrufer-ID, um die Opfer zur Zahlung eines Lösegelds oder zur Verhandlung von Bedingungen zu zwingen.

Vor der Ausnutzung werden die Protokolle systematisch gelöscht, was eine umfassende forensische Analyse der erkannten Vorfälle verhindert. Die als Volcano Demon bekannte Gruppe unterhält keine Leak-Site, obwohl sie während ihrer Operationen doppelte Erpressungstaktiken anwendet.

Bei seinen Angriffen nutzt der Volcano Demon kompromittierte Administratoranmeldeinformationen aus den Netzwerken der Opfer, um eine Linux-Variante von LukaLocker einzuführen. Diese Malware verschlüsselt sowohl Windows-Arbeitsstationen als auch -Server. Bevor die Ransomware eingesetzt wird, exfiltrieren die Angreifer Daten auf ihren Command-and-Control-Server (C2) und erhöhen so ihre Hebelwirkung in Szenarien mit doppelter Erpressung.

Die Opfer werden angewiesen, über die Messaging-Software qTox zu kommunizieren und auf Rückrufe des technischen Supports zu warten, was die Bemühungen, die Kommunikation zwischen Angreifern und Opfern nachzuverfolgen, erschwert.

Die LukaLocker Ransomware beendet Sicherheitssoftware und sperrt Daten

Die LukaLocker-Ransomware wurde im Juni 2024 als x64 PE-Binärdatei entdeckt, die in C++ entwickelt wurde. Laut Forschern verwendet sie API-Verschleierung und dynamische API-Auflösung, um ihre schädlichen Operationen zu verschleiern und so Erkennung, Analyse und Reverse Engineering zu umgehen. Die Ransomware verwendet die Chacha8-Chiffre zur Verschlüsselung von Massendaten. Sie generiert einen zufälligen Chacha8-Schlüssel und eine Nonce unter Verwendung des Elliptic-curve Diffie-Hellman (ECDH)-Schlüsselvereinbarungsalgorithmus über Curve25519. Dateien können vollständig oder zu unterschiedlichen Prozentsätzen verschlüsselt werden, beispielsweise zu 50 %, 20 % oder 10 %.

Bei der Ausführung beendet LukaLocker umgehend mehrere wichtige Sicherheits- und Überwachungsdienste im gesamten Netzwerk, sofern nicht „--sd-killer-off“ angegeben ist. Dazu gehören Anti-Malware- und Endpunktschutztools, Backup- und Wiederherstellungslösungen, Datenbanksoftware von Microsoft, IBM und Oracle, Microsoft Exchange Server, Virtualisierungssoftware sowie Remotezugriffs- und Überwachungstools. Außerdem werden Prozesse im Zusammenhang mit Webbrowsern, Microsoft Office und verschiedenen Cloud- und Remotezugriffsanwendungen beendet.

Wie können Sie Ihre Daten und Geräte besser vor Ransomware-Bedrohungen schützen?

Um Ihre Daten und Geräte besser vor Ransomware- und Malware-Bedrohungen zu schützen, sollten Sie die folgenden Praktiken in Betracht ziehen:

• Halten Sie Ihre Anwendungen auf dem neuesten Stand : Aktualisieren Sie Ihr Betriebssystem, Ihre Anwendungen und Ihre Sicherheitssoftware regelmäßig, um Schwachstellen zu schließen, die von Malware ausgenutzt werden könnten.
• Verwenden Sie sichere, eindeutige Passwörter : Verwenden Sie komplexe Passwörter und ändern Sie diese häufig. Überlegen Sie sich, ob Sie einen Passwort-Manager verwenden, um sie sicher zu verwalten.
• Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) : Fügen Sie eine zusätzliche Sicherheitsebene hinzu, indem Sie MFA auf Konten aktivieren, die dies unterstützen. So wird es für Angreifer schwieriger, unbefugten Zugriff zu erlangen.
• Sichern Sie Ihre Daten regelmäßig : Erstellen und verwalten Sie regelmäßig Backups wichtiger Dateien. Speichern Sie Backups an einem separaten Ort, entweder offline oder in der Cloud, um deren Sicherheit zu gewährleisten, selbst wenn Ihr Hauptsystem kompromittiert ist.
• Seien Sie vorsichtig bei E-Mails und Links : Öffnen Sie keine Anhänge und folgen Sie keinen Links aus unbekannten oder verdächtigen Quellen. Überprüfen Sie die Identität des Absenders, bevor Sie mit unerwarteten E-Mails interagieren.
• Installieren und warten Sie Sicherheitssoftware : Verwenden Sie bewährte Anti-Malware-Software und halten Sie diese auf dem neuesten Stand. Aktivieren Sie Echtzeitschutz und führen Sie regelmäßige Scans durch.
• Sichern Sie Ihr Netzwerk : Verwenden Sie ein sicheres, einzigartiges WLAN-Passwort und aktivieren Sie die WPA3-Verschlüsselung. Erwägen Sie die Einrichtung eines Gastnetzwerks für Besucher, um Ihr primäres Netzwerk zu schützen.
• Makros in Office-Dokumenten deaktivieren : Deaktivieren Sie Makros in Microsoft Office-Dokumenten, sofern Sie sie nicht unbedingt benötigen. Makros sind eine gängige Methode zur Verbreitung von Malware.
• Informieren Sie sich und andere : Bleiben Sie über die neuesten Bedrohungen und Best Practices für die Cybersicherheit informiert. Informieren Sie Familienmitglieder oder Kollegen über Phishing-Taktiken und sicheres Online-Verhalten.
• Verwenden Sie Firewalls : Aktivieren Sie Firewalls auf Ihren Geräten und in Ihrem Netzwerk, um unbefugten Zugriff zu blockieren und eingehenden und ausgehenden Datenverkehr auf verdächtige Aktivitäten zu überwachen.

Durch die Kombination dieser Strategien lässt sich das Risiko, Opfer von Ransomware und anderen Malware-Bedrohungen zu werden, drastisch reduzieren.