Se ha detectado un nuevo actor de ransomware llamado "Volcano Demon" que está llevando a cabo ataques sofisticados contra organizaciones. El grupo utiliza un malware de taquillas novedoso denominado LukaLocker, que se caracteriza por sus tácticas de evasión avanzadas y el uso de la doble extorsión para presionar a las víctimas a pagar un rescate.
Malware: LunaLocker
Un ransomware de taquillas de nueva creación que cifra archivos con la extensión .nba. El ransomware presenta las siguientes características:
- Ofuscación de API y resolución dinámica de API para evadir la detección.
- Terminación de servicios de seguridad y monitoreo para dificultar el análisis.
- Cifrado Chacha8 con clave Chacha8 y nonce aleatorios generados mediante ECDH.
- Cifrado parcial en porcentajes variables (50%, 20%, 10%).
Tácticas, técnicas y procedimientos (TTP):
- Obtención de credenciales administrativas: El atacante utiliza credenciales administrativas comunes obtenidas de las redes de las víctimas para acceder a los sistemas y desplegar el malware.
- Evasión de la detección: El malware emplea técnicas de ofuscación y evasión para dificultar el análisis forense y la detección por parte de las soluciones de seguridad.
- Doble extorsión: El grupo exfiltra datos antes del cifrado y amenaza con publicarlos si la víctima no paga el rescate.
- Comunicación encubierta: Se utiliza qTox para la comunicación entre el atacante y la víctima, lo que dificulta el seguimiento de la interacción.
Impacto potencial:
- Cifrado de archivos y pérdida de acceso a datos: el malware cifra los archivos de la víctima, lo que imposibilita su acceso y uso.
- Amenaza de publicación de datos robados: la exfiltración de datos sensibles y la amenaza de su publicación pueden dañar la reputación de la víctima y generar importantes pérdidas financieras.
- Interrupción de operaciones: el ataque puede interrumpir las operaciones de la víctima, lo que puede ocasionar pérdidas económicas y afectar la productividad.
Recomendaciones:
De forma preventiva se recomienda:
- Implementar medidas de seguridad sólidas:
- Aplicar autenticación fuerte y controles de acceso basados en roles.
- Mantener el software y los sistemas operativos actualizados.
- Implementar soluciones de seguridad de endpoints y redes.
- Realizar copias de seguridad regulares y probar la recuperación de desastres.
- Capacitar a los empleados sobre la seguridad cibernética:
- Enseñar a los empleados a reconocer y evitar ataques de phishing y malware.
- Enfatizar la importancia de informar sobre cualquier actividad sospechosa.
- Estar atento a las últimas amenazas:
- Seguir las noticias y las alertas de seguridad cibernética.
- Suscribirse a las fuentes de inteligencia de amenazas.
- Compartir información de inteligencia de amenazas con otras organizaciones.
Ante un ataque se recomienda las siguientes acciones:
- No pagar el rescate: pagar el rescate no garantiza la recuperación de los datos y puede alentar al actor a continuar con sus actividades ilícitas.
- Aislar los sistemas afectados: desconectar los sistemas infectados de la red para evitar la propagación del malware.
- Contener el incidente: identificar el alcance del ataque y tomar medidas para contenerlo.
- Buscar ayuda de expertos en seguridad cibernética: contratar a expertos calificados para investigar el ataque, recuperar los datos y remediar las vulnerabilidades.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
Fuentes
https://www.darkreading.com/cyberattacks-data-breaches/ransomware-eruption-novel-locker-malware-flows-from-volcano-demon