I ricercatori di Halcyon hanno scoperto un nuovo gruppo di cybercriminali, denominato Volcano Demon, che ha già effettuato diversi attacchi nelle ultime due settimane. Vengono utilizzati vari tool per accedere alle reti aziendali e aggirare le protezioni di sicurezza. L’obiettivo finale è installare il ransomware LukaLocker e chiedere il pagamento di un riscatto, sfruttando la classica doppia estorsione.
Ransomware per Windows e Linux
Il primo campione di LukaLocker è stato individuato il 15 giugno. È un file eseguibile x64 scritto in C++. Al termine della procedura di cifratura, avviata dopo aver sottratto i dati, aggiunge l’estensione .nba
ai file e copia su disco un file di testo con le istruzioni da seguire per contattare i cybercriminali e negoziare il pagamento.
Non è noto come avviene l’intrusione nelle reti aziendali. Probabilmente sono utilizzate credenziali di login vendute nel dark web. Durante l’attacco viene installato anche il trojan Protector. È stato inoltre trovato un file batch che serve per riavviare il computer prima di eseguire il ransomware (disponibile per Windows e Linux).
I ricercatori di Halcyon non hanno ancora completato l’analisi forense perché le tecniche usate dai cybercriminali permettono di cancellare le tracce (i log sono eliminati). Per evitare la rilevazione vengono disattivati servizi e processi di antivirus, software di backup, database, email server, software di virtualizzazione, browser e tool di accesso remoto. Alcune directory non vengono cifrate, così come alcuni file, in modo da consentire il funzionamento del sistema operativo.
LukaLocker supporta la crittografia totale o parziale (intermittente). Quest’ultima velocizza l’operazione soprattutto con file di grandi dimensioni. Le vittime devono contattare i cybercriminali tramite il servizio di messaggistica qTox che consente di telefonare al responsabile dei negoziati. Se non viene pagato il riscatto, i dati verranno venduti sul dark web.