Μια hacking ομάδα, με το όνομα Volcano Demon, διανέμει ένα νέο ransomware (LukaLocker) αλλά δεν χρησιμοποιεί έναν ιστότοπο διαρροής δεδομένων. Αντ’ αυτού, οι hackers τηλεφωνούν σε βασικά στελέχη των οργανισμών-θυμάτων για να τους απειλήσουν και να ασκήσουν πίεση.
Ο προμηθευτής κυβερνοασφάλειας Halcyon ισχυρίστηκε ότι η ομάδα “Volcano Demon” έχει πραγματοποιήσει αρκετές επιθέσεις το τελευταίο δεκαπενθήμερο, αναπτύσσοντας την παραλλαγή ransomware LukaLocker. Το ransomware κρυπτογραφεί αρχεία, προσθέτοντας την επέκταση .nba. Η ομάδα φαίνεται να έχει καταβάλει πολλές προσπάθειες για να διασφαλίσει ότι αποφεύγει τον εντοπισμό και την ανάλυση.
Δείτε επίσης: Η Brain Cipher ζητά συγγνώμη για την επίθεση ransomware στην Ινδονησία
«Το ransomware είναι ένα x64 PE binary γραμμένο σε C++», εξηγεί η αναφορά. «Το ransomware LukaLocker χρησιμοποιεί API obfuscation και dynamic API resolution για να κρύψει τις κακόβουλες λειτουργίες του – αποφεύγοντας τον εντοπισμό, την ανάλυση και το reverse engineering».
Κατά την εκτέλεση, το ransomware τερματίζει διάφορες υπηρεσίες και διεργασίες στα συστήματα-στόχους, συμπεριλαμβανομένης της δημιουργίας αντιγράφων ασφαλείας και της ανίχνευσης τελικού σημείου, του AV, της παρακολούθησης συστήματος και της απομακρυσμένης πρόσβασης.
Οι ερευνητές της Halcyon παρατήρησαν ότι οι hackers μπορούν να κλειδώσουν τόσο τους σταθμούς εργασίας όσο και τους διακομιστές Windows. Επίσης, κλέβουν δεδομένα για να εκβιάσουν τα θύματα.
Ωστόσο, αυτό που κάνει πιο ιδιαίτερο το ransomware LukaLocker είναι ότι οι hackers Volcano Demon δεν έχουν ιστότοπο διαρροής δεδομένων, για να εκβιάσουν τα θύματα. Τηλεφωνούν στα στελέχη των εταιρειών-θυμάτων για να τους πιέσουν να πληρώσουν λύτρα.
«Οι κλήσεις προέρχονται από αγνώστους αριθμούς και μπορεί να είναι απειλητικές», προειδοποίησε η Halcyon.
Δείτε επίσης: H Heritage Valley Health System έλαβε πρόστιμο 950.000 δολάρια για επίθεση Ransomware
Το σημείωμα για τα λύτρα είναι, επίσης, απειλητικό: «Το εταιρικό σας δίκτυο έχει κρυπτογραφηθεί. Και δεν είναι μόνο αυτό – μελετήσαμε και κατεβάσαμε πολλά από τα δεδομένα σας… Εάν αγνοήσετε αυτό το περιστατικό, θα διασφαλίσουμε ότι τα εμπιστευτικά σας δεδομένα θα γίνουν ευρέως διαθέσιμα στο κοινό. Θα διασφαλίσουμε ότι οι πελάτες και οι συνεργάτες σας θα μάθουν τα πάντα και οι επιθέσεις θα συνεχιστούν. Μερικά από τα δεδομένα θα πωληθούν σε απατεώνες που θα επιτεθούν στους πελάτες και τους υπαλλήλους σας».
Οι νέες τακτικές απαιτούν αλλαγή στην αντιμετώπιση
Ο Adam Pilton, ανώτερος σύμβουλος κυβερνοασφάλειας στην CyberSmart, είπε ότι οι εκβιασμοί μέσω τηλεφώνου περιπλέκουν τις προσπάθειες αντιμετώπισης των περιστατικών ransomware.
«Με μια τηλεφωνική κλήση που προέρχεται από έναν άγνωστο αριθμό, ο αριθμός των μεταβλητών αυξάνεται, πράγμα που σημαίνει ότι μπορεί να χρειαστείτε έναν διαπραγματευτή σε ετοιμότητα και διαθέσιμο ανά πάσα στιγμή», υποστήριξε. «Αυτό αυξάνει το κόστος της υπηρεσίας διαπραγμάτευσης. Σημαίνει επίσης ότι ο διαπραγματευτής πρέπει να είναι προετοιμασμένος για όλα τα ενδεχόμενα».
Ωστόσο, θα μπορούσαν επίσης να υπάρξουν νέα στοιχεία για τις αρχές επιβολής του νόμου. «Τα τηλεφωνικά δεδομένα μπορεί να κρύβονται, αλλά οι πληροφορίες που δίνει ο εισβολέας είναι δυνητικά πολύ περισσότερες. Θα υπάρχουν φωνητικά δεδομένα και πιθανός θόρυβος περιβάλλοντος, καθώς και αρχεία σύνδεσης κλήσεων».
Δείτε επίσης: BlackSuit ransomware: Υπεύθυνο για την επίθεση στην KADOKAWA
Οι επιθέσεις ransomware μπορούν να έχουν καταστροφικό αντίκτυπο στις επιχειρήσεις, με τη δυνατότητα να διαταράξουν τις λειτουργίες, να προκαλέσουν οικονομική ζημία και να βλάψουν τη φήμη μιας εταιρείας. Εκτός από τις άμεσες συνέπειες της πληρωμής των λύτρων ή της απώλειας ευαίσθητων δεδομένων, οι εταιρείες ενδέχεται επίσης να αντιμετωπίσουν νομικές συνέπειες για την αποτυχία προστασίας των πληροφοριών πελατών ή εργαζομένων.
Καθώς η απειλή του ransomware συνεχίζει να αυξάνεται και να εξελίσσεται, είναι πιο σημαντικό από ποτέ για τους οργανισμούς να εφαρμόζουν ισχυρά μέτρα ασφάλειας στον κυβερνοχώρο. Αυτό περιλαμβάνει την τακτική δημιουργία αντιγράφων ασφαλείας δεδομένων, την εφαρμογή ισχυρών πρωτοκόλλων ασφαλείας και την ενημέρωση σχετικά με τις αναδυόμενες απειλές.
Πηγή: www.infosecurity-magazine.com
 αλλά δεν χρησιμοποιεί έναν ιστότοπο διαρροής δεδομένων){kind=link}