Observatorio de Amenazas

Nuevo actor de ransomware: Volcano Demon

Escrito por Javiera González | 04-07-24

Se ha detectado un nuevo actor de ransomware llamado "Volcano Demon" que está llevando a cabo ataques sofisticados contra organizaciones. El grupo utiliza un malware de taquillas novedoso denominado LukaLocker, que se caracteriza por sus tácticas de evasión avanzadas y el uso de la doble extorsión para presionar a las víctimas a pagar un rescate.

Malware: LunaLocker

Un ransomware de taquillas de nueva creación que cifra archivos con la extensión .nba. El ransomware presenta las siguientes características:

  • Ofuscación de API y resolución dinámica de API para evadir la detección.
  • Terminación de servicios de seguridad y monitoreo para dificultar el análisis.
  • Cifrado Chacha8 con clave Chacha8 y nonce aleatorios generados mediante ECDH.
  • Cifrado parcial en porcentajes variables (50%, 20%, 10%).

Tácticas, técnicas y procedimientos (TTP):

  • Obtención de credenciales administrativas: El atacante utiliza credenciales administrativas comunes obtenidas de las redes de las víctimas para acceder a los sistemas y desplegar el malware.
  • Evasión de la detección: El malware emplea técnicas de ofuscación y evasión para dificultar el análisis forense y la detección por parte de las soluciones de seguridad.
  • Doble extorsión: El grupo exfiltra datos antes del cifrado y amenaza con publicarlos si la víctima no paga el rescate.
  • Comunicación encubierta: Se utiliza qTox para la comunicación entre el atacante y la víctima, lo que dificulta el seguimiento de la interacción.

Impacto potencial:

  • Cifrado de archivos y pérdida de acceso a datos: el malware cifra los archivos de la víctima, lo que imposibilita su acceso y uso.
  • Amenaza de publicación de datos robados: la exfiltración de datos sensibles y la amenaza de su publicación pueden dañar la reputación de la víctima y generar importantes pérdidas financieras.
  • Interrupción de operaciones: el ataque puede interrumpir las operaciones de la víctima, lo que puede ocasionar pérdidas económicas y afectar la productividad.

Recomendaciones:

De forma preventiva se recomienda:

  • Implementar medidas de seguridad sólidas:
    • Aplicar autenticación fuerte y controles de acceso basados en roles.
    • Mantener el software y los sistemas operativos actualizados.
    • Implementar soluciones de seguridad de endpoints y redes.
    • Realizar copias de seguridad regulares y probar la recuperación de desastres.
  • Capacitar a los empleados sobre la seguridad cibernética:
    • Enseñar a los empleados a reconocer y evitar ataques de phishing y malware.
    • Enfatizar la importancia de informar sobre cualquier actividad sospechosa.
  • Estar atento a las últimas amenazas:
    • Seguir las noticias y las alertas de seguridad cibernética.
    • Suscribirse a las fuentes de inteligencia de amenazas.
    • Compartir información de inteligencia de amenazas con otras organizaciones.

Ante un ataque se recomienda las siguientes acciones:

  • No pagar el rescate: pagar el rescate no garantiza la recuperación de los datos y puede alentar al actor a continuar con sus actividades ilícitas.
  • Aislar los sistemas afectados: desconectar los sistemas infectados de la red para evitar la propagación del malware.
  • Contener el incidente: identificar el alcance del ataque y tomar medidas para contenerlo.
  • Buscar ayuda de expertos en seguridad cibernética: contratar a expertos calificados para investigar el ataque, recuperar los datos y remediar las vulnerabilidades.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Fuentes

https://www.darkreading.com/cyberattacks-data-breaches/ransomware-eruption-novel-locker-malware-flows-from-volcano-demon