Grup ransomware baru Volcano Demon ancam korban lewat telepon

Sebuah kelompok ransomware baru yang dikenal sebagai Volcano Demon telah terdeteksi menyerang workstation dan server Windows, mencuri kredensial administratif dari jaringan dan mengancam korban melalui panggilan telepon.

Dilansir dari Cyber Security News (5/7), aktor ancaman ini tidak menggunakan situs kebocoran seperti kebanyakan kelompok ransomware lainnya. Sebaliknya, mereka menghubungi eksekutif IT dan pemimpin perusahaan secara langsung melalui panggilan telepon dengan nomor yang tidak dikenal. Panggilan tersebut berisi nada mengancam dan tuntutan tebusan.

Ransomware yang digunakan, dijuluki LukaLocker, ditemukan mengenkripsi file korban dengan ekstensi .nba. Peneliti dari Halcyon mengidentifikasi sampel LukaLocker pada 15 Juni 2024. Ransomware ini dikembangkan dalam bahasa pemrograman C++ dan dikompilasi sebagai binary PE x64.

LukaLocker mampu menghindari deteksi dan analisis dengan menyembunyikan fungsinya yang merusak melalui resolusi API dinamis dan obfuscation API. Para peretas mengenkripsi file korban sebelum melakukan panggilan telepon, meninggalkan catatan tebusan yang berisi ancaman.

"Jaringan korporat Anda telah dienkripsi... Kami mempelajari dan mengunduh banyak data Anda, banyak di antaranya bersifat rahasia," bunyi catatan tebusan tersebut. "Jika Anda mengabaikan insiden ini, kami akan memastikan bahwa klien dan mitra Anda mengetahui segalanya, dan serangan akan terus berlanjut. Beberapa data akan dijual kepada penipu yang akan menyerang klien dan karyawan Anda."