Penjahat siber ini menghubungi eksekutif IT dan pemimpin perusahaan secara langsung melalui panggilan telepon dengan nomor yang tidak dikenal untuk meminta tebusan.
Sebuah kelompok ransomware baru yang dikenal sebagai Volcano Demon telah terdeteksi menyerang workstation dan server Windows, mencuri kredensial administratif dari jaringan dan mengancam korban melalui panggilan telepon.
Dilansir dari Cyber Security News (5/7), aktor ancaman ini tidak menggunakan situs kebocoran seperti kebanyakan kelompok ransomware lainnya. Sebaliknya, mereka menghubungi eksekutif IT dan pemimpin perusahaan secara langsung melalui panggilan telepon dengan nomor yang tidak dikenal. Panggilan tersebut berisi nada mengancam dan tuntutan tebusan.
Ransomware yang digunakan, dijuluki LukaLocker, ditemukan mengenkripsi file korban dengan ekstensi .nba. Peneliti dari Halcyon mengidentifikasi sampel LukaLocker pada 15 Juni 2024. Ransomware ini dikembangkan dalam bahasa pemrograman C++ dan dikompilasi sebagai binary PE x64.
LukaLocker mampu menghindari deteksi dan analisis dengan menyembunyikan fungsinya yang merusak melalui resolusi API dinamis dan obfuscation API. Para peretas mengenkripsi file korban sebelum melakukan panggilan telepon, meninggalkan catatan tebusan yang berisi ancaman.
“Jaringan korporat Anda telah dienkripsi… Kami mempelajari dan mengunduh banyak data Anda, banyak di antaranya bersifat rahasia,” bunyi catatan tebusan tersebut. “Jika Anda mengabaikan insiden ini, kami akan memastikan bahwa klien dan mitra Anda mengetahui segalanya, dan serangan akan terus berlanjut. Beberapa data akan dijual kepada penipu yang akan menyerang klien dan karyawan Anda.”
Selain Windows, varian Linux dari LukaLocker juga ditemukan di jaringan korban. Volcano Demon menggunakan kredensial administrator yang dicuri dari jaringan untuk mengunci desktop dan server Windows dengan sukses.
Data korban dicuri dan dikirim ke layanan Command and Control (C2) sebelum serangan dilancarkan sebagai bentuk pemerasan ganda. Menurut peneliti, dalam kedua kasus yang diteliti, solusi log dan pemantauan korban sangat terbatas sebelum insiden, dan log dihapus sebelum eksploitasi terjadi, sehingga tinjauan forensik menyeluruh tidak dapat dilakukan.
Belum jelas apakah Volcano Demon merupakan bagian dari organisasi ransomware terkenal atau tidak. Namun, para peneliti menyatakan bahwa kelompok ransomware terus berevolusi, dan beberapa aktor ancaman baru muncul dengan fokus pada berbagai jenis bisnis.
Peneliti keamanan menegaskan bahwa membayar tebusan kepada pelaku bukanlah keputusan yang bijaksana, karena hal itu hanya akan mendorong tindakan kriminal lebih lanjut. Organisasi disarankan untuk tidak membayar tebusan dan segera meningkatkan keamanan siber mereka untuk mencegah serangan di masa depan.