新型勒索爆发！最新勒索软件LukaLocker对抗调查有新招

主要观点总结

Halcyon公司发现名为Volcano Demon的新型勒索软件组织攻击，该组织使用LukaLocker加密文件并在受害者网络中部署Linux版本的LukaLocker。Volcano Demon通过锁定Windows工作站和服务器并在实施攻击前将数据泄露到C2服务上，采用双重勒索策略。新型勒索软件使用前所未见的锁定恶意软件，使安全专家难以调查。攻击者清除日志，使用无显示号码电话联系公司领导层和IT高管进行勒索谈判。Halcyon公司是一家提供勒索软件防护解决方案的公司。

关键观点总结

关键观点1: Volcano Demon新型勒索软件组织攻击

Volcano Demon是一个使用LukaLocker加密文件的勒索软件组织，该组织通过在受害者网络中部署Linux版本的LukaLocker进行攻击。

关键观点2: Volcano Demon的逃避策略

攻击者在入侵前清除了日志，并使用无显示号码电话进行勒索谈判，难以进行全面取证分析。

关键观点3: LukaLocker的特点

LukaLocker加密带有.nba扩展名的文件，并使用Chacha8密码进行批量数据加密。它还会终止网络和系统中的某些服务和进程，如杀毒和端点保护服务、备份和恢复服务等。

关键观点4: Halcyon公司的角色和解决方案

Halcyon公司是一家提供勒索软件防护解决方案的公司，其平台具有绕过和逃避保护、密钥材料捕获、自动解密以及数据泄露和勒索预防等功能。

文章预览

Halcyon公司7月1日发布分析报告，称其遭遇了名为Volcano Demon的新型勒索软件组织的攻击。该组织使用的加密器样本LukaLocker专门加密带有.nba扩展名的文件，并在受害者网络中部署了Linux版本的LukaLocker。Volcano Demon通过利用网络中的常见管理凭据锁定Windows工作站和服务器，并在实施攻击前将数据泄露到C2服务上，采用双重勒索策略。攻击者在入侵后清除了日志，且由于受害者的日志记录和监控解决方案有限，导致无法进行彻底的取证分析。在两起案件中，攻击者没有公开泄露数据，而是通过电话以威胁性语气联系公司领导层和IT高管进行勒索和谈判，电话来源不明。 新发现的创新的 LukaLocker 恶意软件和一系列逃避策略来掩盖其行踪，使安全专家难以调查。 新型勒索基本情况 根据发现该攻击者的Halcyon研究人员的说法，这个新发现的对手被称为“火山恶魔 ………………………………