CONTACTANOS
Contactanos por Whatsapp

Novedades

Un nuevo jugador de ransomware de doble extorsión ha irrumpido en la escena con varios ataques en dos semanas, empleando un innovador malware de bloqueo y una serie de tácticas de evasión para cubrir sus huellas y hacer difícil para los expertos en seguridad investigar.

Blog Details Image

Identificado como "Vulcano Demon" por los investigadores de Halcyon que lo descubrieron, este adversario recién descubierto se caracteriza por un malware de bloqueo nunca antes visto, llamado LukaLocker, que encripta archivos de víctimas con la extensión de archivo .nba, según una publicación de blog de esta semana.


Las tácticas de evasión del atacante incluyen la instalación de soluciones limitadas de registro y monitoreo de víctimas antes de la explotación, y el uso de llamadas telefónicas "amenazantes" desde números de "Identificación de Llamada No Disponible" para extorsionar o negociar un rescate.


"Los registros fueron borrados antes de la explotación y en ambos casos, una evaluación forense completa no fue posible debido a su éxito en cubrir sus huellas", escribió el equipo de investigación de Halcyon en la publicación. Volcano Demon tampoco tiene un sitio de filtración para publicar los datos que roba durante sus ataques, aunque utiliza la doble extorsión como táctica, agregó el equipo.


En sus ataques, Volcano Demon utilizó credenciales administrativas comunes obtenidas de las redes de sus víctimas para cargar una versión de LukaLocker para Linux, bloqueando con éxito estaciones de trabajo y servidores Windows. Los atacantes también exfiltraron datos de la red a su propio servidor de control y comando (C2) antes del despliegue del ransomware para utilizar la doble extorsión.


Una nota de rescate instruye a las víctimas a contactar a los atacantes a través del software de mensajería qTox y luego esperar que el soporte técnico los llame de vuelta, dificultando el seguimiento de la comunicación entre las partes, según Halcyon.


¿Remanentes de Conti?

Los investigadores de Halycon descubrieron por primera vez una muestra de lo que ahora llama LukaLocker el 15 de junio, según la publicación. "El ransomware es un binario PE x64 escrito y compilado usando C++", escribió el equipo. "LukaLocker ransomware emplea obfuscación de API y resolución dinámica de API para ocultar sus funcionalidades maliciosas, evitando la detección, el análisis y la ingeniería inversa".


Al ejecutarse, a menos que se especifique "--sd-killer-off", LukaLocker termina inmediatamente algunos servicios de seguridad y monitoreo presentes en la red, similar y posiblemente copiado del prolífico pero ahora extinto ransomware Conti, según la publicación. Estos servicios incluyen varios antivirus y protección de endpoint; herramientas de respaldo y recuperación; software de base de datos de Microsoft, IBM y Oracle, entre otros; Microsoft Exchange Server; software de virtualización; y herramientas de acceso y monitoreo remoto. También termina otros procesos, incluidos navegadores web, Microsoft Office y software de acceso y monitoreo en la nube, como TeamViewer.


El locker utiliza el cifrado Chacha8 para la encriptación de datos a granel, generando aleatoriamente la clave Chacha8 y el nonce a través del algoritmo de acuerdo de clave Diffie-Hellman elíptico (ECDH) sobre Curve25519. Los archivos pueden estar completamente encriptados o en porcentajes variables, incluidos 50%, 20% o 10%.


Se Requiere Vigilancia

Debido a las extensas capacidades de evasión de Volcano Demon, fue difícil para el equipo de Halcyon realizar un análisis forense completo de los ataques; además, los investigadores no revelaron el tipo de organizaciones atacadas por el actor amenazante. Sin embargo, Halcyon logró identificar varios indicadores comprometidos (IoC) de los atacantes, algunos de los cuales se han cargado en Virus Total.


Estos IoC incluyen un troyano, Protector.exe, y el encriptador Locker.exe. Un archivo criptor de Linux llamado Linux locker/bin y scripts de línea de comando que preceden a la encriptación, Reboot.bat, también son características de un ataque del nuevo actor de ransomware.


A pesar de diversas operaciones policiales que han eliminado a los principales grupos de ciberdelincuentes, el ransomware sigue siendo una amenaza prevalente y disruptiva para las organizaciones globales, por lo que se requiere vigilancia entre quienes tienen la responsabilidad de defender redes. Dado que Volcano Demon utiliza contraseñas administrativas para explotar redes de organizaciones como un primer medio de explotación, tácticas de defensa como la autenticación multifactor (MFA) y la capacitación de empleados para identificar campañas de phishing que ponen credenciales en manos de los atacantes pueden ayudar a evitar compromisos.

Noticias relacionadas