Volcano Demon на проводе: новое лицо корпоративного шантажа

Зачем вымогатели каждый день звонят руководителю?


xrotygpbt48v5r0x2nkzvm5w5bj14qz2.jpg


Компания Halcyon сообщает о новой группе вымогателей Volcano Demon, которая за последние 2 недели совершила как минимум 2 успешные атаки. Целями группы стали компании из производственной и логистической отраслей.

Особенность группы Volcano Demon заключается в том, что она не использует публичные сайты для утечек данных, а предпочитает запугивать и вести переговоры с руководством пострадавших организаций по телефону. Звонки поступают с неопределённых номеров и зачастую имеют угрожающий характер.

Перед звонками хакеры Volcano Demon шифруют файлы на системах жертв с помощью ранее неизвестного вируса-шифровальщика LukaLocker (Linux-версия) и оставляют записку с требованием выкупа: «Если вы проигнорируете этот инцидент... мы позаботимся о том, чтобы ваши клиенты и партнёры узнали обо всём, а атаки продолжатся. Некоторые данные будут проданы мошенникам, которые будут атаковать ваших клиентов и сотрудников».


f2b4g8c323nnq5966h4v225c678wz8fd.png


Записка с требованием выкупа Volcano Demon

Группа Volcano Demon блокирует рабочие станции и серверы на Windows, используя общие административные учётные данные, полученные из сети. Volcano Demon применяет технику двойного вымогательства, чтобы увеличить вероятность получения выкупа. Сначала злоумышленники эксфильтруют данные жертв на свои серверы, а затем шифруют файлы.

Образец LukaLocker представляет собой PE-файл, написанный и скомпилированный с использованием C++. Программа-вымогатель LukaLocker использует обфускацию API и динамическое разрешение API для сокрытия своих вредоносных функций — избегая обнаружения, анализа и реверс-инжиниринга.

Отслеживание группы вымогателей Volcano Demon представляет значительные трудности, поскольку киберпреступники стирают журналы событий на целевых машинах перед началом эксплуатации, что делает криминалистическую экспертизу практически невозможной.

Отмечается, что хакеры разговаривают с сильным акцентом, но определить их происхождение без записей, которые на данный момент отсутствуют, очень сложно. Вымогатели звонят очень часто, а в некоторых случаях почти ежедневно. Halcyon не может поделиться подробностями переговоров между злоумышленниками и жертвами.

Пока не ясно, действует ли группа Volcano Demon самостоятельно или является филиалом известной группы вымогателей. На данный момент Halcyon не удалось установить такие связи.