LukaLocker ランサムウェア

短期間に一連の攻撃を仕掛け、二重の脅迫戦術を採用する新たなランサムウェア攻撃者が出現しました。この攻撃者は、LukaLocker ランサムウェアと呼ばれる革新的なロッカー マルウェアを導入し、さまざまな回避技術を備えて動作を難読化し、フォレンジック調査を妨害します。研究者によって「Volcano Demon」と特定されたサイバー犯罪グループは、これまで見たことのないロッカー マルウェアである LukaLocker の斬新な使用法で注目を集めています。この脅威によって暗号化されたファイルには、「.nba」拡張子が付加されます。

火山悪魔の攻撃で観察された戦術

攻撃者は、攻撃を開始する前に被害者のログ記録や監視ソリューションを最小限にとどめるなど、高度な回避策を採用しています。さらに、彼らは「発信者番号非通知」の番号から「脅迫」電話をかけて、被害者に身代金を支払わせたり条件を交渉させたりします。

ログは悪用される前に体系的に消去され、検出されたインシデントの包括的な科学捜査を妨げます。Volcano Demon として知られるこのグループは、活動中に二重の恐喝戦術を採用しているにもかかわらず、漏洩サイトの維持を控えています。

Volcano Demon は攻撃中に、被害者のネットワークから入手した侵害された管理者認証情報を利用して、LukaLocker の Linux 版を導入します。このマルウェアは、Windows ワークステーションとサーバーの両方を効果的に暗号化します。ランサムウェアを展開する前に、攻撃者はデータをコマンド アンド コントロール サーバー (C2) に盗み出し、二重の脅迫シナリオで影響力を高めます。

被害者はqToxメッセージングソフトウェアを介して通信し、テクニカルサポートのコールバックを待つように指示されるため、攻撃者と被害者間の通信を追跡する取り組みが複雑になります。

LukaLockerランサムウェアはセキュリティソフトウェアを終了させ、データをロックします

LukaLocker ランサムウェアは、2024 年 6 月に C++ で開発された x64 PE バイナリとして発見されました。研究者によると、このランサムウェアは API 難読化と動的 API 解決を使用して有害な操作を隠蔽し、検出、分析、リバース エンジニアリングを回避しています。このランサムウェアは、大量のデータを暗号化するために Chacha8 暗号を使用します。Curve25519 上の楕円曲線 Diffie-Hellman (ECDH) キー合意アルゴリズムを使用して、ランダムな Chacha8 キーと nonce を生成します。ファイルは完全に暗号化することも、50%、20%、10% などの異なる割合で暗号化することもできます。

実行時に、「--sd-killer-off」が指定されていない限り、LukaLocker はネットワーク全体のいくつかの重要なセキュリティおよび監視サービスを直ちに終了します。これには、マルウェア対策およびエンドポイント保護ツール、バックアップおよびリカバリ ソリューション、Microsoft、IBM、および Oracle のデータベース ソフトウェア、Microsoft Exchange Server、仮想化ソフトウェア、リモート アクセスおよび監視ツールが含まれます。また、Web ブラウザー、Microsoft Office、およびさまざまなクラウドおよびリモート アクセス アプリケーションに関連するプロセスも終了します。

ランサムウェアの脅威からデータとデバイスをより適切に保護するにはどうすればよいでしょうか?

ランサムウェアやマルウェアの脅威からデータとデバイスをより適切に保護するには、次の対策を実装することを検討してください。

• アプリケーションを最新の状態に保つ: オペレーティング システム、アプリケーション、セキュリティ ソフトウェアを定期的に更新して、マルウェアに悪用される可能性のある脆弱性を修正します。
• 強力で固有のパスワードを使用する: 複雑なパスワードを使用し、頻繁に変更します。パスワードを安全に管理するために、パスワード マネージャーの使用を検討してください。
• 多要素認証 (MFA) を有効にする: MFA をサポートするアカウントで MFA を有効にしてセキュリティをさらに強化し、攻撃者が不正にアクセスすることを困難にします。
• データを定期的にバックアップする: 重要なファイルのバックアップを定期的に作成して維持します。メイン システムが侵害された場合でも安全性を確保するために、オフラインまたはクラウド内の別の場所にバックアップを保存します。
• 電子メールとリンクには注意してください: 不明または疑わしいソースからの添付ファイルを開いたり、リンクをクリックしたりしないでください。予期しない電子メールとやり取りする前に、送信者の身元を確認してください。
• セキュリティ ソフトウェアをインストールして維持する: 信頼できるマルウェア対策ソフトウェアを使用し、最新の状態に保ってください。リアルタイム保護を有効にし、定期的にスキャンを実行します。
• ネットワークのセキュリティ保護: 強力で固有の Wi-Fi パスワードを使用し、WPA3 暗号化を有効にします。プライマリ ネットワークのセキュリティを確保するために、訪問者用のゲスト ネットワークを確立することを検討してください。
• Office ドキュメントのマクロを無効にする: 特に必要な場合を除き、Microsoft Office ドキュメントのマクロを無効にします。マクロはマルウェアを拡散する一般的な方法です。
• 自分自身と他の人を教育する: 最新のサイバーセキュリティの脅威とベストプラクティスについて常に情報を入手してください。フィッシングの手口と安全なオンライン行動について、家族や同僚に教育してください。
• ファイアウォールの使用: デバイスとネットワークでファイアウォールを有効にして、不正アクセスをブロックし、受信トラフィックと送信トラフィックを監視して疑わしいアクティビティを検出します。

これらの戦略を組み合わせることで、ランサムウェアやその他のマルウェアの脅威の被害に遭うリスクを大幅に軽減できます。