05/07/24
Компания Halcyon сообщает о новой группе вымогателей Volcano Demon, которая за последние 2 недели совершила как минимум 2 успешные атаки. Целями группы стали компании из производственной и логистической отраслей, пишет Securitylab.
Особенность группы Volcano Demon заключается в том, что она не использует публичные сайты для утечек данных, а предпочитает запугивать и вести переговоры с руководством пострадавших организаций по телефону. Звонки поступают с неопределённых номеров и зачастую имеют угрожающий характер.
Перед звонками хакеры Volcano Demon шифруют файлы на системах жертв с помощью ранее неизвестного вируса-шифровальщика LukaLocker (Linux-версия) и оставляют записку с требованием выкупа: «Если вы проигнорируете этот инцидент... мы позаботимся о том, чтобы ваши клиенты и партнёры узнали обо всём, а атаки продолжатся. Некоторые данные будут проданы мошенникам, которые будут атаковать ваших клиентов и сотрудников».
Группа Volcano Demon блокирует рабочие станции и серверы на Windows, используя общие административные учётные данные, полученные из сети. Volcano Demon применяет технику двойного вымогательства, чтобы увеличить вероятность получения выкупа. Сначала злоумышленники эксфильтруют данные жертв на свои серверы, а затем шифруют файлы.
Образец LukaLocker представляет собой PE-файл, написанный и скомпилированный с использованием C++. Программа-вымогатель LukaLocker использует обфускацию API и динамическое разрешение API для сокрытия своих вредоносных функций — избегая обнаружения, анализа и реверс-инжиниринга.
Отслеживание группы вымогателей Volcano Demon представляет значительные трудности, поскольку киберпреступники стирают журналы событий на целевых машинах перед началом эксплуатации, что делает криминалистическую экспертизу практически невозможной.
Отмечается, что хакеры разговаривают с сильным акцентом, но определить их происхождение без записей, которые на данный момент отсутствуют, очень сложно. Вымогатели звонят очень часто, а в некоторых случаях почти ежедневно. Halcyon не может поделиться подробностями переговоров между злоумышленниками и жертвами.
