专栏名称: 网空闲话plus
原《网空闲话》。主推网络空间安全情报分享,安全意识教育普及,安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。
目录
相关文章推荐
51好读  ›  专栏  ›  网空闲话plus

新型勒索爆发!最新勒索软件LukaLocker对抗调查有新招

网空闲话plus  · 公众号  ·  · 2024-07-04 07:19

正文

Halcyon公司7月1日发布分析报告,称其遭遇了名为Volcano Demon的新型勒索软件组织的攻击。该组织使用的加密器样本LukaLocker专门加密带有.nba扩展名的文件,并在受害者网络中部署了Linux版本的LukaLocker。Volcano Demon通过利用网络中的常见管理凭据锁定Windows工作站和服务器,并在实施攻击前将数据泄露到C2服务上,采用双重勒索策略。攻击者在入侵后清除了日志,且由于受害者的日志记录和监控解决方案有限,导致无法进行彻底的取证分析。在两起案件中,攻击者没有公开泄露数据,而是通过电话以威胁性语气联系公司领导层和IT高管进行勒索和谈判,电话来源不明。 新发现的创新的 LukaLocker 恶意软件和一系列逃避策略来掩盖其行踪,使安全专家难以调查。

新型勒索基本情况
根据发现该攻击者的Halcyon研究人员的说法,这个新发现的对手被称为“火山恶魔”( Volcano Demon ),其特点是使用前所未见的锁定恶意软件,名为 LukaLocker,该软件将受害者的文件加密为 .nba文件扩展名。
攻击者的逃避策略包括在攻击前安装有限的受害者日志记录和监控解决方案,以及使用“无来电显示”号码进行“威胁性”电话来勒索或谈判赎金。
Halcyon研究团队在文章中写道:“在攻击前清除了日志,在两起案件中,由于成功掩盖了行踪,无法进行全面的取证评估。”火山恶魔还没有发布其在攻击中窃取数据的泄漏网站,尽管它确实使用双重勒索作为策略,团队说。
在攻击中,火山恶魔使用从受害者网络中收集的常见管理凭证加载了Linux版本的LukaLocker,然后成功锁定了Windows工作站和服务器。攻击者还在勒索软件部署前将数据从网络中提取到其自己的指挥和控制服务器(C2),以便使用双重勒索。
赎金通知指示受害者通过qTox消息软件联系攻击者,然后等待技术支持回电,这使得跟踪双方之间的通信变得困难。

Conti的残余?

根据文章,Halcyon研究人员于6月15日首次发现了现在称之为LukaLocker的样本。团队写道:“勒索软件是一个用C++编写和编译的x64 PE二进制文件。”LukaLocker勒索软件使用AP 混淆和动态API解析来隐藏其恶意功能——以逃避检测、分析和逆向工程。”
执行后,除非指定“--sd-killer-off”,否则LukaLocker会立即终止网络中存在的一些安全和监控服务,类似于现已不复存在的Conti勒索软件中的服务,可能是从 Conti勒索软件中复制的。这些服务包括各种杀毒和端点保护;备份和恢复工具;由 Microsoft、IBM和Oracle提供的数据库软件等;Microsoft Exchange服务器;虚拟化软件;以及远程访问和监控工具。它还会终止其他进程,包括Web浏览器、Microsoft Office和云及远程访问软件,如TeamViewer。

勒索软件停止的服务和进程主要包括如下类别:

停止的服务

杀毒和端点保护服务

  • Sophos
  • Symantec
  • McAfee
  • Avast
  • Defender
  • Malwarebytes
  • Windows Defender
  • BitDefender
  • Spyhunter
  • Kaspersky
  • SentinelOne

备份和恢复服务

  • Acronis

  • Symantec

  • Veeam

  • SQL Safe

数据库服务

  • Microsoft SQL Server

  • MySQL

  • IBM DB2

  • Oracle

电子邮件服务器

  • Microsoft Exchange

虚拟化和云服务

  • VMWare

  • BlueStripe

  • ProLiant

远程访问和监控服务

  • Alerter

  • Eventlog

  • UI0Detect

  • WinVNC4

勒索软件停止的进程

杀毒和安全软件进程

  • Symantec/Norton

  • McAfee

  • AVG

  • Kaspersky

  • Bitdefender

  • Trend Micro

  • Malware Bytes

系统监控和管理进程

  • VMware

  • Proficy

  • Microsoft

  • IBM

  • BMC

数据库和存储服务进程

  • Microsoft SQL Server

  • Oracle

  • MySQL

云和远程访问工具进程

  • TeamViewer

  • VNC

  • Google

网络浏览器进程

  • Firefox

  • Chrome

办公和生产力软件进程

  • Microsoft Office

该锁定器使用Chacha8密码进行批量数据加密,通过Elliptic-curve Diffie-Hellman (ECDH)密钥协商算法在Curve25519上随机生成Chacha8密钥和 nonce。文件可以完全加密或按不同的百分比加密,包括50%、20%或10%。






请到「今天看啥」查看全文


推荐文章
HOT男人  ·  荐号 | 你一定要看的5句话
8 年前
煮酒论史  ·  朱元璋的五大历史功绩无人能比
8 年前
ONE一个  ·  为暗恋的人做过的傻事
7 年前
网易LOFTER  ·  音乐下午茶 | 后摇真的很不错 (文末有福利)
7 年前
ppt设计学堂  ·  人物简介PPT,只要记住这三点就够了
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!