Una nuova minaccia nel panorama dei ransomware è emersa di recente e presenta delle tattiche inquietanti. Secondo un rapporto dell'azienda specializzata Halycon, un gruppo denominato Volcano Demon sta attaccando diverse aziende nelle ultime settimane, utilizzando un nuovo tipo di software chiamato LukaLocker.
Il metodo utilizzato da Volcano Demon è piuttosto diretto: prima penetra nella rete del bersaglio, ne mappa la struttura e poi sottrae quanti più file sensibili possibile. Successivamente, procede con il blocco dei file e dei sistemi, richiedendo un pagamento in criptovaluta in cambio della chiave di decrittazione e per evitare la pubblicazione dei dati.
LukaLocker aggiunge l'estensione .nba ai file criptati e funziona sia su dispositivi Windows che Linux. È particolarmente efficace nel nascondere le proprie attività poiché elimina i log prima di effettuare l'attacco, rendendo difficile per i ricercatori di cybersecurity condurre valutazioni forensi complete.
La mancanza di soluzioni adeguate di logging e monitoraggio installate dalle vittime complica ulteriormente la situazione. Inoltre, LukaLocker è in grado di disabilitare i processi associati alle soluzioni antivirus e antimalware più diffuse.
Nonostante queste tattiche siano simili a quelle di altri attori del ransomware, Volcano Demon si distingue per non disporre di un sito dedicato alla pubblicazione dei dati sottratti.
Il gruppo, difatti, opta per un metodo più tradizionale per contattare i leader delle aziende vittime dei loro attacchi: telefonargli ripetutamente per negoziare il pagamento. Le chiamate provengono da numeri con ID chiamante non identificato e, nei casi più eclatanti, hanno assunto toni minacciosi.
Queste informazioni sono emerse nel momento in cui il governo indonesiano ha dichiarato di essere stato colpito da un attacco di ransomware al proprio centro dati nazionale, decidendo tuttavia di non pagare il riscatto richiesto, dopo aver subito un vero e proprio bombardamento di telefonate.
Tutto questo ribadisce, se ce ne fosse ancora bisogno, la crescente necessità di soluzioni avanzate in termini di firewall, e protezione, risulta sempre più essenziale per difendere le infrastrutture aziendali.