LukaLocker ransomware

Ha surgido un nuevo actor de ransomware que emplea tácticas de doble extorsión con una serie de ataques en un corto período. Esta entidad presenta un innovador malware de casillero denominado LukaLocker Ransomware, equipado con varias técnicas de evasión para ofuscar sus operaciones y obstaculizar las investigaciones forenses. Identificado por los investigadores como el 'Demonio del Volcán', un grupo cibercriminal ha llamado la atención por su novedoso uso del LukaLocker, que era un malware de casilleros nunca antes visto. Los archivos cifrados por esta amenaza tienen la extensión '.nba'.

Tácticas observadas en los ataques de demonios volcánicos

Los atacantes emplean sofisticados métodos de evasión, como implementar soluciones mínimas de registro y monitoreo de víctimas antes de iniciar ataques. Además, utilizan llamadas telefónicas "amenazando" desde números "sin identificación de llamadas" para obligar a las víctimas a pagar un rescate o negociar condiciones.

Antes de la explotación, los registros se borran sistemáticamente, lo que impide un análisis forense integral de los incidentes detectados. El grupo conocido como Volcano Demon se abstiene de mantener un sitio de fuga a pesar de emplear tácticas de doble extorsión durante sus operaciones.

Durante sus ataques, Volcano Demon utiliza credenciales administrativas comprometidas obtenidas de las redes de víctimas para introducir una variante Linux de LukaLocker. Este malware cifra eficazmente tanto las estaciones de trabajo como los servidores de Windows. Antes de implementar ransomware, los atacantes extraen datos a su servidor de Comando y Control (C2), mejorando su influencia en escenarios de doble extorsión.

Las víctimas reciben instrucciones de comunicarse a través del software de mensajería qTox y esperan que les devuelvan la llamada para recibir asistencia técnica, lo que complica los esfuerzos para rastrear las comunicaciones entre los atacantes y las víctimas.

El ransomware LukaLocker finaliza el software de seguridad y bloquea los datos

El LukaLocker Ransomware se descubrió en junio de 2024 como un binario x64 PE desarrollado en C++. Según los investigadores, emplea ofuscación de API y resolución dinámica de API para ocultar sus operaciones dañinas, evadiendo la detección, el análisis y la ingeniería inversa. El ransomware utiliza el cifrado Chacha8 para cifrar datos de forma masiva. Genera una clave Chacha8 aleatoria y un nonce utilizando el algoritmo de acuerdo de claves de curva elíptica Diffie-Hellman (ECDH) sobre Curve25519. Los archivos se pueden cifrar por completo o en diferentes porcentajes, como 50%, 20% o 10%.

Tras la ejecución, a menos que se especifique '--sd-killer-off', LukaLocker finaliza rápidamente varios servicios críticos de seguridad y monitoreo en toda la red. Estos incluyen herramientas antimalware y de protección de terminales, soluciones de respaldo y recuperación, software de bases de datos de Microsoft, IBM y Oracle, Microsoft Exchange Server, software de virtualización y herramientas de monitoreo y acceso remoto. También finaliza procesos relacionados con navegadores web, Microsoft Office y varias aplicaciones de acceso remoto y en la nube.

¿Cómo proteger mejor sus datos y dispositivos contra las amenazas de ransomware?

Para proteger mejor sus datos y dispositivos contra amenazas de ransomware y malware, considere implementar las siguientes prácticas:

• Mantenga sus aplicaciones actualizadas : actualice periódicamente su sistema operativo, sus aplicaciones y su software de seguridad para corregir las vulnerabilidades que podrían ser aprovechadas por el malware.
• Utilice contraseñas únicas y seguras : utilice contraseñas complejas y cámbielas con frecuencia. Considere buscar un administrador de contraseñas para realizar un seguimiento de ellas de forma segura.
• Habilite la autenticación multifactor (MFA) : agregue una capa adicional de seguridad habilitando MFA en cuentas que la admitan, lo que dificulta que los atacantes obtengan acceso no autorizado.
• Realice copias de seguridad de datos con regularidad : cree y mantenga copias de seguridad periódicas de archivos importantes. Almacene las copias de seguridad en una ubicación separada, ya sea fuera de línea o en la nube, para garantizar su seguridad incluso si su sistema principal se ve comprometido.
• Sea prudente con los correos electrónicos y los enlaces : evite abrir archivos adjuntos o seguir enlaces de fuentes desconocidas o sospechosas. Verifique la identidad del remitente antes de interactuar con correos electrónicos inesperados.
• Instale y mantenga el software de seguridad : utilice software antimalware confiable y manténgalo actualizado. Habilite la protección en tiempo real y ejecute análisis periódicos.
• Asegure su red : use una contraseña de Wi-Fi única y segura y habilite el cifrado WPA3. Considere establecer una red de invitados para que los visitantes mantengan segura su red principal.
• Deshabilite las macros en documentos de Office : deshabilite las macros en los documentos de Microsoft Office a menos que las necesite específicamente. Las macros son un método común para propagar malware.
• Edúquese a sí mismo y a los demás : manténgase informado sobre las últimas amenazas y mejores prácticas de ciberseguridad. Eduque a sus familiares o colegas sobre las tácticas de phishing y el comportamiento seguro en línea.
• Utilice firewalls : habilite firewalls en sus dispositivos y red para bloquear el acceso no autorizado y monitorear el tráfico entrante y saliente en busca de actividades sospechosas.

Al combinar estas estrategias, se puede reducir drásticamente el riesgo de ser víctima de ransomware y otras amenazas de malware.