Ransomware LukaLocker

Un nouvel acteur du ransomware employant des tactiques de double extorsion a émergé avec une série d’attaques sur une courte période. Cette entité introduit un malware de verrouillage innovant baptisé LukaLocker Ransomware, équipé de diverses techniques d'évasion pour obscurcir ses opérations et entraver les enquêtes médico-légales. Identifié par les chercheurs sous le nom de « Volcano Demon », un groupe de cybercriminels a attiré l'attention pour sa nouvelle utilisation de LukaLocker, un malware de casier inédit. Les fichiers cryptés par cette menace portent l'extension « .nba ».

Tactiques observées lors des attaques des démons volcaniques

Les attaquants emploient des méthodes d'évasion sophistiquées, telles que le déploiement de solutions minimales de journalisation et de surveillance des victimes avant de lancer des attaques. De plus, ils utilisent des appels téléphoniques « menaçants » provenant de numéros « sans identification de l'appelant » pour contraindre les victimes à payer une rançon ou à négocier des conditions.

Avant l’exploitation, les journaux sont systématiquement effacés, ce qui empêche une analyse médico-légale complète des incidents détectés. Le groupe connu sous le nom de Volcano Demon s’abstient de maintenir un site de fuite malgré le recours à des tactiques de double extorsion au cours de ses opérations.

Au cours de leurs assauts, le Volcano Demon utilise des informations d'identification administratives compromises obtenues auprès des réseaux victimes pour introduire une variante Linux de LukaLocker. Ce malware crypte efficacement les postes de travail et les serveurs Windows. Avant de déployer le ransomware, les attaquants exfiltrent les données vers leur serveur de commande et de contrôle (C2), renforçant ainsi leur influence dans les scénarios de double extorsion.

Les victimes sont invitées à communiquer via le logiciel de messagerie qTox et à attendre d'être rappelées pour obtenir une assistance technique, ce qui complique les efforts visant à retracer les communications entre les attaquants et les victimes.

Le ransomware LukaLocker met fin au logiciel de sécurité et verrouille les données

Le LukaLocker Ransomware a été découvert en juin 2024 en tant que binaire x64 PE développé en C++. Selon les chercheurs, il utilise l’obscurcissement des API et la résolution dynamique des API pour masquer ses opérations nuisibles, évitant ainsi la détection, l’analyse et l’ingénierie inverse. Le ransomware utilise le chiffre Chacha8 pour chiffrer les données en masse. Il génère une clé Chacha8 aléatoire et un occasionnel en utilisant l'algorithme d'accord de clé Elliptic-curve Diffie-Hellman (ECDH) sur Curve25519. Les fichiers peuvent être chiffrés entièrement ou à différents pourcentages, tels que 50 %, 20 % ou 10 %.

Lors de l'exécution, à moins que « --sd-killer-off » ne soit spécifié, LukaLocker met rapidement fin à plusieurs services de sécurité et de surveillance critiques sur le réseau. Ceux-ci incluent des outils anti-malware et de protection des points finaux, des solutions de sauvegarde et de récupération, des logiciels de base de données de Microsoft, IBM et Oracle, Microsoft Exchange Server, des logiciels de virtualisation et des outils d'accès et de surveillance à distance. Il met également fin aux processus liés aux navigateurs Web, à Microsoft Office et à diverses applications cloud et d'accès à distance.

Comment mieux protéger vos données et vos appareils contre les menaces de ransomwares ?

Pour mieux protéger vos données et vos appareils contre les menaces de ransomwares et de logiciels malveillants, envisagez de mettre en œuvre les pratiques suivantes :

• Gardez vos applications à jour : mettez régulièrement à jour votre système d'exploitation, vos applications et vos logiciels de sécurité pour corriger les vulnérabilités qui pourraient être exploitées par des logiciels malveillants.
• Utilisez des mots de passe forts et uniques : utilisez des mots de passe complexes et modifiez-les fréquemment. Pensez à trouver un gestionnaire de mots de passe pour en assurer le suivi en toute sécurité.
• Activer l'authentification multifacteur (MFA) : ajoutez une couche de sécurité supplémentaire en activant l'authentification multifacteur sur les comptes qui la prennent en charge, ce qui rend plus difficile pour les attaquants d'obtenir un accès non autorisé.
• Sauvegarder régulièrement les données : créez et maintenez des sauvegardes régulières des fichiers importants. Stockez les sauvegardes dans un emplacement séparé, hors ligne ou dans le cloud, pour garantir leur sécurité même si votre système principal est compromis.
• Soyez prudent avec les e-mails et les liens : évitez d'ouvrir des pièces jointes ou de suivre des liens provenant de sources inconnues ou suspectes. Vérifiez l'identité de l'expéditeur avant d'interagir avec des e-mails inattendus.
• Installer et entretenir un logiciel de sécurité : utilisez un logiciel anti-malware réputé et maintenez-le à jour. Activez la protection en temps réel et exécutez des analyses régulières.
• Sécurisez votre réseau : utilisez un mot de passe Wi-Fi fort et unique et activez le cryptage WPA3. Pensez à établir un réseau d'invités pour les visiteurs afin de garantir la sécurité de votre réseau principal.
• Désactiver les macros dans les documents Office : désactivez les macros dans les documents Microsoft Office, sauf si vous en avez spécifiquement besoin. Les macros sont une méthode courante de propagation de logiciels malveillants.
• Informez-vous et informez les autres : restez informé des dernières menaces et des meilleures pratiques en matière de cybersécurité. Éduquez les membres de votre famille ou vos collègues sur les tactiques de phishing et les comportements sécuritaires en ligne.
• Utiliser des pare-feu : activez les pare-feu sur vos appareils et votre réseau pour bloquer les accès non autorisés et surveiller le trafic entrant et sortant pour détecter toute activité suspecte.

En combinant ces stratégies, le risque d’être victime de ransomwares et d’autres menaces de logiciels malveillants peut être considérablement réduit.