LukaLocker ransomware
A Halcyon kutatói egy új zsarolóvírus-szervezettel találkoztak, amelyet a kutatók Volcano Demon néven követnek nyomon, miután az elmúlt két hétben több támadás is történt. A LukaLocker névre keresztelt ransomware mintát azonosították, amely .nba fájlkiterjesztést használ. Ezen kívül több támadási eszközt is azonosítottak a megosztott IOC-kal. A LukaLocker linuxos verzióját is azonosították az áldozat hálózatán.
A Volcano Demon sikeresen zárolta mind a Windows munkaállomásokat, mind a kiszolgálókat, miután a hálózatból begyűjtött közös rendszergazdai hitelesítő adatokat használta. A támadást megelőzően az adatokat a C2-szolgáltatásokba szivárogtatták ki a kettős zsarolási technikákhoz.
A naplókat törölték, és egyik esetben nem volt lehetséges a teljes forensics elemzés, mivel a sikeresen eltüntették a nyomokat, és az eseményt megelőzően korlátozott áldozati naplózási és felügyeleti megoldásokat telepítettek.
A fenyegető szereplő nem rendelkezik kiszivárogtató oldallal, és telefonhívásokat használ a vezetőség és az IT-vezetők megzsarolására és a fizetésről való tárgyaláshoz. A hívások azonosítatlan hívószámokról érkeznek, és hangjuk és elvárásaik fenyegetőek lehetnek.
