Volcano Demon на проводе: новое лицо корпоративного шантажа

Volcano Demon на проводе: новое лицо корпоративного шантажа

Зачем вымогатели каждый день звонят руководителю?

image

Компания Halcyon сообщает о новой группе вымогателей Volcano Demon, которая за последние 2 недели совершила как минимум 2 успешные атаки. Целями группы стали компании из производственной и логистической отраслей.

Особенность группы Volcano Demon заключается в том, что она не использует публичные сайты для утечек данных, а предпочитает запугивать и вести переговоры с руководством пострадавших организаций по телефону. Звонки поступают с неопределённых номеров и зачастую имеют угрожающий характер.

Перед звонками хакеры Volcano Demon шифруют файлы на системах жертв с помощью ранее неизвестного вируса-шифровальщика LukaLocker (Linux-версия) и оставляют записку с требованием выкупа: «Если вы проигнорируете этот инцидент... мы позаботимся о том, чтобы ваши клиенты и партнёры узнали обо всём, а атаки продолжатся. Некоторые данные будут проданы мошенникам, которые будут атаковать ваших клиентов и сотрудников».

Записка с требованием выкупа Volcano Demon

Группа Volcano Demon блокирует рабочие станции и серверы на Windows, используя общие административные учётные данные, полученные из сети. Volcano Demon применяет технику двойного вымогательства, чтобы увеличить вероятность получения выкупа. Сначала злоумышленники эксфильтруют данные жертв на свои серверы, а затем шифруют файлы.

Образец LukaLocker представляет собой PE-файл, написанный и скомпилированный с использованием C++. Программа-вымогатель LukaLocker использует обфускацию API и динамическое разрешение API для сокрытия своих вредоносных функций — избегая обнаружения, анализа и реверс-инжиниринга.

Отслеживание группы вымогателей Volcano Demon представляет значительные трудности, поскольку киберпреступники стирают журналы событий на целевых машинах перед началом эксплуатации, что делает криминалистическую экспертизу практически невозможной.

Отмечается, что хакеры разговаривают с сильным акцентом, но определить их происхождение без записей, которые на данный момент отсутствуют, очень сложно. Вымогатели звонят очень часто, а в некоторых случаях почти ежедневно. Halcyon не может поделиться подробностями переговоров между злоумышленниками и жертвами.

Пока не ясно, действует ли группа Volcano Demon самостоятельно или является филиалом известной группы вымогателей. На данный момент Halcyon не удалось установить такие связи.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь