Μία νέα ομάδα ransomware έχει εμφανιστεί, χρησιμοποιώντας απειλές μέσω τηλεφώνου για να αναγκάσει τα θύματά της να πληρώσουν. Η Halycon, μια εταιρεία που ασχολείται με την αντιμετώπιση του ransomware, ανέφερε ότι η ομάδα Volcano Demon έχει επιτεθεί σε “αρκετούς” στόχους τις τελευταίες εβδομάδες, χρησιμοποιώντας ένα νέο κρυπτογράφο με το όνομα LukaLocker.
Απάτη ransomware: Τα «εργαλεία» που χρησιμοποιεί
Η μέθοδος της ομάδας είναι σχετικά απλή: Οι κυβερνοεγκληματίες πρώτα βρίσκουν τρόπο να εισχωρήσουν στο δίκτυο του στόχου, το χαρτογραφούν και εξάγουν όσες περισσότερες ευαίσθητες πληροφορίες μπορούν. Στη συνέχεια, εγκαθιστούν τον κρυπτογράφο, κλειδώνοντας τα αρχεία και τα συστήματα. Μετά από αυτό, ζητούν πληρωμή σε κρυπτονόμισμα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης και για να μην αποκαλύψουν τα δεδομένα.
Ο κρυπτογράφος LukaLocker προσθέτει την κατάληξη αρχείου .nba στα κρυπτογραφημένα αρχεία και λειτουργεί τόσο σε συσκευές Windows όσο και σε Linux. Επιπλέον, ο LukaLocker είναι εξαιρετικά αποτελεσματικός στο να κρύβει τα ίχνη του, καθώς διαγράφει τα αρχεία καταγραφής πριν από τη ληστεία των δεδομένων, εμποδίζοντας τους ερευνητές στον τομέα της κυβερνοασφάλειας να πραγματοποιήσουν πλήρη εγκληματολογική αξιολόγηση.
Οι περιορισμένες λύσεις καταγραφής και παρακολούθησης που έχουν εγκαταστήσει τα θύματα δε βοηθούν την κατάσταση. Επιπλέον, ο LukaLocker μπορεί να απενεργοποιήσει τις διαδικασίες που σχετίζονται με τα πιο δημοφιλή antivirus και anti-malware προγράμματα.
Σε τι διαφέρει από άλλες κυβερνοεπιθέσεις αυτή;
Οι περισσότερες τακτικές της ομάδας Volcano Demon είναι παρόμοιες με αυτές άλλων ομάδων ransomware, υπάρχει μια σημαντική διαφορά: η Volcano Demon δεν έχει έναν ειδικό ιστότοπο διαρροής δεδομένων. Αντί αυτού, επικοινωνεί τηλεφωνικά με την ηγεσία της εταιρείας-θύματος για να διαπραγματευτεί την πληρωμή. Όλες οι κλήσεις προέρχονται από αριθμούς χωρίς αναγνώριση καλούντος και, όπως επισημαίνουν οι ερευνητές, μπορεί να είναι απειλητικές τόσο στον τόνο όσο και στις απαιτήσεις τους.