Nel panorama della sicurezza informatica è emersa una nuova minaccia ransomware denominata Volcano Demon, che utilizza il malware LukaLocker per colpire aziende in tutto il mondo. Questo gruppo è stato identificato dagli esperti di sicurezza di Halcyon e ha rapidamente attirato l’attenzione per le sue tattiche aggressive e innovative.
Volcano Demon si distingue per il suo approccio metodico e diretto. Prima di tutto, gli attaccanti penetrano nelle reti delle vittime sfruttando credenziali amministrative comuni o deboli. Una volta all’interno, mappano la struttura della rete e sottraggono dati sensibili. Il ransomware, un tipo di malware che cripta i file di una vittima e richiede un riscatto per decriptarli, utilizzato dal gruppo, crittografa i file aggiungendo l’estensione .nba e funziona su entrambe le piattaforme Windows e Linux.
Le strategie di attacco di Volcano Demon
LukaLocker è un eseguibile binario a 64 bit scritto in C++ che utilizza tecniche di offuscamento delle API (Interfaccia di Programmazione delle Applicazioni) e risoluzione dinamica delle API per nascondere le sue funzioni maligne, rendendo difficile il rilevamento e l’analisi forense. Il ransomware è in grado di terminare immediatamente i processi associati ai principali software antivirus e di sicurezza, come Sophos, Symantec, McAfee e altri, facilitando così la sua diffusione e la crittografia dei file senza interferenze.
Una delle peculiarità di Volcano Demon è il metodo di estorsione. Diversamente da altri gruppi ransomware, che pubblicano i dati rubati su siti di leak per fare pressione sulle vittime, Volcano Demon contatta direttamente i dirigenti delle aziende attraverso telefonate da numeri non identificati, utilizzando toni minacciosi per negoziare il pagamento del riscatto.
Recentemente, il governo indonesiano è stato colpito da un attacco di Volcano Demon al proprio centro dati nazionale. Nonostante le ripetute telefonate minacciose, il governo ha deciso di non pagare il riscatto, dimostrando l’importanza di resistere alle richieste dei cybercriminali. Questo caso mette in luce l’urgenza di adottare misure di sicurezza avanzate per proteggere le infrastrutture critiche.
Per difendersi da queste minacce, è essenziale implementare politiche di password robuste, aggiornare regolarmente il software e utilizzare soluzioni di sicurezza avanzate. Un piano di risposta agli incidenti ben definito può inoltre aiutare a mitigare l’impatto degli attacchi ransomware. Le aziende devono essere pronte a migliorare costantemente le loro misure di sicurezza per affrontare minacce sempre più sofisticate.