Nauja išpirkos reikalaujančių programų grupė „Volcano Demon“ naudoja tiesioginius telefono skambučius aukoms spausti

Kibernetinio saugumo startuolio „Halcyon Tech Inc.“ liepos 1 d. paskelbtoje ataskaitoje įspėjama apie naują „ransomware“ grupę, kuri dažnai skambina telefonais, siekdama priversti aukas susimokėti.

Pranešama, kad „Vulcano Demon“ praminta išpirkos reikalaujančių programų grupė veikė paskutines dvi birželio savaites ir jau pradėjo keletą atakų. Vulkano demonas buvo pastebėtas naudojant išpirkos reikalaujančios programos variantą, pavadintą LukaLocker, kuris užšifruoja aukos failus su plėtiniu .nba.

„Halcyon“ tyrėjai nustatė keletą atakų įrankių, kuriuos naudoja išpirkos reikalaujančių programų grupė, įskaitant „LukaLocker“ Linux versiją. Išpirkos reikalaujanti programinė įranga sėkmingai užrakino „Windows“ darbo vietas ir serverius, naudodama įprastus administravimo kredencialus, surinktus iš tinklo.

Nustatyta, kad „Vulcano Demon“ naudoja dvigubo bakstelėjimo arba dvigubo turto prievartavimo metodą, kai, gavęs prieigą prie aukos kompiuterio ar sistemos, išpirkos reikalaujančios programos operatorius ne tik pavagia failus, bet ir juos užšifruoja. Išpirkos programų grupė reikalauja sumokėti ir už iššifravimo raktą, ir pažadą neparduoti ir neskelbti pavogtų duomenų. Pavogti duomenys naudojami kaip svertas, o nukentėjusiesiems pranešama, kad pavogtų duomenų paskelbimas dar labiau pakenks įmonės reputacijai.

Dauguma „Volcano Demon“ išpirkos reikalaujančių veiksmų skamba kaip bet kuri nauja išpirkos reikalaujančių programų grupė, kuri ateina į sceną, bet tada viskas tampa įdomi. Skirtingai nuo išpirkos reikalaujančios programos amžininkų, „Volcano Demon“ neturi tamsios žiniatinklio nutekėjimo svetainės, kad priverstų aukas, bet laikosi senesnio ir tiesioginio požiūrio: jis nuolatos vadina savo aukas.

Dviem Halcyono pastebėtais atvejais „Volcan Demo“ dalyviai skambindavo vadovams ir informacinių technologijų vadovams, kad išviliotų juos ir susitartų dėl mokėjimo. Skambučiai buvo iš neatpažintų skambintojų ID numerių ir, kaip teigiama, kartais kelia grėsmę savo tonu ir lūkesčiais.

Kol kas tiksliai nežinoma, kokios plačios ugnikalnio demono operacijos; Nors Halcyonas iki šiol stebėjo tik du atvejus iš grupės, tikėtina, kad yra ir kitų nedokumentuotų aukų.

Siekdami sumažinti ugnikalnio demono atakos riziką, Halcyon mokslininkai atkreipia dėmesį į patikimų registravimo ir stebėjimo sprendimų svarbą, kad būtų galima veiksmingai aptikti išpirkos reikalaujančių programų atakas ir į jas reaguoti.

Organizacijos turėtų peržiūrėti savo saugos nuostatas, siekdamos užtikrinti, kad administraciniai kredencialai būtų saugiai tvarkomi ir būtų taikomos išsamios atsarginės kopijos ir atkūrimo strategijos, kurios sumažintų išpirkos reikalaujančių programų poveikį. Taip pat pažymima, kad naujausių antivirusinių ir galinių taškų apsaugos paslaugų palaikymas ir reguliarus sistemos auditas yra labai svarbūs norint anksti aptikti ir užkirsti kelią išpirkos reikalaujančių programų atakoms.

Vaizdas: SiliconANGLE/GPT-4o