Netskope wurde im Gartner® Magic Quadrant™ 2024 für Security Service Edge als Leader ausgezeichnet. Report abrufen

Schließen
Lupe
Loslegen
Lupe
Support
Chevron
Support Sprache
Schließen
  • Warum Netskope? Chevron

    Verändern Sie die Art und Weise, wie Netzwerke und Sicherheit zusammenarbeiten.

  • Unsere Kunden Chevron

    Netskope bedient mehr als 3.000 Kunden weltweit, darunter mehr als 25 der Fortune 100

  • Unsere Partner Chevron

    Unsere Partnerschaften helfen Ihnen, Ihren Weg in die Cloud zu sichern.

Immer noch am Höchsten in der Ausführung.
Immer noch am Weitesten in der Vision.

Erfahren Sie, warum Netskope im Gartner® Magic Quadrant ™ 2024 zum dritten Mal in Folge zum Leader für Security Service Edge ernannt wurde.

Report abrufen
Netskope Named a Leader in the 2024 Gartner® Magic Quadrant™ for Security Service Edge graphic for menu
Wir helfen unseren Kunden, auf alles vorbereitet zu sein

Unsere Kunden
Lächelnde Frau mit Brille schaut aus dem Fenster
Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.

Erfahren Sie mehr über Netskope-Partner
Gruppe junger, lächelnder Berufstätiger mit unterschiedlicher Herkunft
Ihr Netzwerk von morgen

Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.

Whitepaper lesen
Ihr Netzwerk von morgen
Vorstellung der Netskope One-Plattform

Netskope One ist eine cloudnative Plattform, die konvergierte Sicherheits- und Netzwerkdienste bietet, um Ihre SASE- und Zero-Trust-Transformation zu ermöglichen.

Erfahren Sie mehr über Netskope One
Abstrakt mit blauer Beleuchtung
Nutzen Sie eine Secure Access Service Edge (SASE)-Architektur

Netskope NewEdge ist die weltweit größte und leistungsstärkste private Sicherheits-Cloud und bietet Kunden eine beispiellose Serviceabdeckung, Leistung und Ausfallsicherheit.

Mehr über NewEdge erfahren
NewEdge
Netskope Cloud Exchange

Cloud Exchange (CE) von Netskope gibt Ihren Kunden leistungsstarke Integrationstools an die Hand, mit denen sie in jeden Aspekt ihres Sicherheitsstatus investieren können.

Erfahren Sie mehr über Cloud Exchange
Netskope-Video
  • Edge-Produkte von Security Service Chevron

    Schützen Sie sich vor fortgeschrittenen und cloudfähigen Bedrohungen und schützen Sie Daten über alle Vektoren hinweg.

  • Borderless SD-WAN Chevron

    Stellen Sie selbstbewusst sicheren, leistungsstarken Zugriff auf jeden Remote-Benutzer, jedes Gerät, jeden Standort und jede Cloud bereit.

  • Secure Access Service Edge Chevron

    Netskope One SASE bietet eine Cloud-native, vollständig konvergente SASE-Lösung eines einzelnen Anbieters.

Entdecken Sie Borderless SD-WAN
Die Plattform der Zukunft heißt Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) und Private Access for ZTNA sind nativ in einer einzigen Lösung integriert, um jedes Unternehmen auf seinem Weg zum Secure Access Service zu unterstützen Edge (SASE)-Architektur.

Netskope Produktübersicht
Netskope-Video
Next Gen SASE Branch ist hybrid – verbunden, sicher und automatisiert

Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.

Erfahren Sie mehr über Next Gen SASE Branch
Menschen im Großraumbüro
Entwerfen einer SASE-Architektur für Dummies

Holen Sie sich Ihr kostenloses Exemplar des einzigen Leitfadens zum SASE-Design, den Sie jemals benötigen werden.

Jetzt das E-Book lesen
Netskope Lösungsübersicht
Netskope Lösungsübersicht
Netskope Lösungsübersicht
Branchenüberblick
Steigen Sie auf marktführende Cloud-Security Service mit minimaler Latenz und hoher Zuverlässigkeit um.

Mehr über NewEdge erfahren
Beleuchtete Schnellstraße mit Serpentinen durch die Berge
Ermöglichen Sie die sichere Nutzung generativer KI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz.

Erfahren Sie, wie wir den Einsatz generativer KI sichern
ChatGPT und Generative AI sicher aktivieren
Zero-Trust-Lösungen für SSE- und SASE-Deployments

Erfahren Sie mehr über Zero Trust
Bootsfahrt auf dem offenen Meer
Netskope erhält die FedRAMP High Authorization

Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.

Erfahren Sie mehr über Netskope GovCloud
Netskope GovCloud
  • Ressourcen Chevron

    Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Ihre Reise in die Cloud zu sichern.

  • Blog Chevron

    Erfahren Sie, wie Netskope die Sicherheits- und Netzwerktransformation durch Security Service Edge (SSE) ermöglicht

  • Events und Workshops Chevron

    Bleiben Sie den neuesten Sicherheitstrends immer einen Schritt voraus und tauschen Sie sich mit Gleichgesinnten aus

  • Security Defined Chevron

    Finden Sie alles was Sie wissen müssen in unserer Cybersicherheits-Enzyklopädie.

Security Visionaries Podcast

How to Use a Magic Quadrant and Other Industry Research
In dieser Folge analysieren Max Havey, Steve Riley und Mona Faulkner den komplizierten Prozess der Erstellung eines Magic Quadrant und erklären, warum es sich dabei um viel mehr als nur ein Diagramm handelt.

Podcast abspielen
So verwenden Sie einen Magic Quadrant und andere Branchenforschungs-Podcasts
Neueste Blogs

Lesen Sie, wie Netskope die Zero Trust- und SASE-Reise durch Security Service Edge (SSE)-Funktionen ermöglichen kann.

Den Blog lesen
Sonnenaufgang und bewölkter Himmel
SASE Week 2023: Ihre SASE-Reise beginnt jetzt!

Wiederholungssitzungen der vierten jährlichen SASE Week.

Entdecken Sie Sitzungen
SASE Week 2023
Was ist Security Service Edge?

Entdecken Sie die Sicherheitselemente von SASE, die Zukunft des Netzwerks und der Security in der Cloud.

Erfahren Sie mehr über Security Service Edge
Kreisverkehr mit vier Straßen
  • Unternehmen Chevron

    Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.

  • Leadership Chevron

    Unser Leadership-Team ist fest entschlossen, alles zu tun, was nötig ist, damit unsere Kunden erfolgreich sind.

  • Kundenlösungen Chevron

    Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.

  • Schulung und Zertifizierung Chevron

    Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.

Gehen Sie zu Kundenlösungen
Netskope-Schulung
Unterstützung der Nachhaltigkeit durch Datensicherheit

Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.

Finde mehr heraus
Unterstützung der Nachhaltigkeit durch Datensicherheit
Denker, Architekten, Träumer, Innovatoren. Gemeinsam liefern wir hochmoderne Cloud-Sicherheitslösungen, die unseren Kunden helfen, ihre Daten und Mitarbeiter zu schützen.

Lernen Sie unser Team kennen
Gruppe von Wanderern erklimmt einen verschneiten Berg
Das talentierte und erfahrene Professional Services-Team von Netskope bietet einen präskriptiven Ansatz für Ihre erfolgreiche Implementierung.

Erfahren Sie mehr über professionelle Dienstleistungen
Netskope Professional Services
Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.

Erfahren Sie mehr über Schulungen und Zertifizierungen
Gruppe junger Berufstätiger bei der Arbeit

Resurgence of Locky Ransomware with LUKITUS extension

Aug 18 2017
By Umesh Wanve
Tags
Locky
Ransomware
Vulnerability Advisory

Update August 31, 2017: Netskope Threat Research Labs has spotted that Locky variant LUKITUS now using 7Z format for email attachments. It uses simple names for attachment like documents.7z, photos.7z, scans.7z. The attachment contains malicious VBS script code which downloads Locky Ransomware and encrypts user files with “.LUKITUS” extensions as detailed in our recent blog. Netskope Threat Protection detects the VBS archived in the 7zip as “vb:trojan.agnt.cmbk” and the payload as “Win32:Trojan:Locky:L”.

Last year, Netskope Threat Research Labs blogged about various evolution stages of the popular Locky Ransomware namely usage of cloud apps, usage of DLL (Dynamic Link Library) instead of EXE (Executable File) and usage of “.AESIR” and “.ZZZZZ” extensions for encrypted files.  Netskope Threat Research Labs has constantly been tracking campaigns related to Locky, which after remaining passive in last couple months has emerged with a massive ongoing email campaign. The emails are sent with zip file as an attachment. The zip file contains malicious VBScript or JavaScript which act as downloader for Locky variant Ransomware. The Ransomware on execution encrypts the files using a new extension “.LUKITUS”. Netskope Threat Protection detects the malicious VBS and JS files as Backdoor.js.ryw and Backdoor.JS.agnt.qvs respectively. The blog provides more details about the workings of the malware.

Analysis of VBScript and JavaScript files

As mentioned earlier, this variant of Locky spreads either via VBScript or JavaScript file bundled inside ZIP archives as attachments. Both format of the scripts are obfuscated. For example of one of the malicious VBScript code we analyzed is shown in Figure 1.


Figure 1: Malicious VBScript code

On the same lines, an example of one of the JavaScript code we analyzed is shown in Figure 2.


Figure 2: Malicious JavaScript code

These scripts act as downloaders, which on execution download and execute the LUKITUS variant of the ransomware. The script contains array of URLs to download malicious payload as shown in Figure 3.


Figure 3: List of URLs to download malicious payloads.

The malicious payload is downloaded from compromised domains as shown in Figure 4.


Figure 4: Malicious payload is downloaded from compromised domains.

The downloaded payload is saved under %TEMP% directory with random names. Both scripts download different payloads from compromised domains but the mechanism of downloading the LUKITUS variant payload is same. The details of the payloads downloaded by the scripts at the time of analysis are as listed below

VBS payload MD5: 3D4E88B3BA4D128BB171B74B1F6F641A

Netskope detection:Backdoor.ransm.cerbrkd.12157876

JS payload MD5: AE2E796443D66A9838E2EF9418C66F20

Netskope detection: Backdoor.generckd.5841337

The payload then uploads system information to its C&C server using HTTP POST request as shown in Figure 5.


Figure 5: C&C communication over HTTP POST request.

The payload then encrypts files with LUKITUS extension as shown in Figure 6.


Figure 6: Files are encrypted with LUKITUS extensions

Once it finishes the encryption of files, it will display a ransom warning as shown in Figure 7.


Figure 7: LUKITUS ransom warning message.

Conclusion

Locky ransomware continues to be in the limelight using different variants since its inception. We have seen a huge spike in LUKITUS variants in last couple of days. Although, there is no major change apart from the new extension for encrypted files, the spike in campaign suggests that the threat actors behind the campaign are still using Locky Ransomware to spread and infect systems.Since the variants have a similar infection mechanism with only a change in extensions for encrypted files, we potentially suspect the use of a Locky payload builder toolkit. Netskope Threat Research Labs is continuously monitoring the evolution of ransomware strains, including Locky, and will report the use of any new techniques and evasions.

General Recommendations

Netskope recommends the following to combat cloud malware and threats:

  • Detect and remediate cloud threats using a threat-aware CASB solution like Netskope and enforce policy on usage of unsanctioned services as well as unsanctioned instances of sanctioned cloud services
  • Sample policies to enforce:
    • Scan all uploads from unmanaged devices to sanctioned cloud services for malware
    • Scan all uploads from remote devices to sanctioned cloud  services for malware
    • Scan all downloads from unsanctioned cloud  services for malware
    • Scan all downloads from unsanctioned instances of sanctioned cloud  services for malware
    • Enforce quarantine/block actions on malware detection to reduce user impact
    • Block unsanctioned instances of sanctioned/well known cloud  services, to prevent attackers from exploiting user trust in cloud. While this seems a little restrictive, it significantly reduces the risk of malware infiltration attempts via cloud
  • Enforce DLP policies to control files and data en route to or from your corporate environment
  • Regularly back up and turn on versioning for critical content in cloud services
  • Enable the “View known file extensions” option on Windows machines
  • Warn users to avoid executing unsigned macros and macros from an untrusted source, unless they are very sure that they are benign
  • Warn users to avoid executing any file unless they are very sure that they are benign
  • Warn users against opening untrusted attachments, regardless of their extensions or filenames
  • Keep systems and antivirus updated with the latest releases and patches

Indicators of Compromise (IOCs)

Malicious VBScript MD5: 3D4E88B3BA4D128BB171B74B1F6F641A

Malicious Javascript MD5: 13bea407806390f8c3f823a5ebdcae59

JavaScript downloader scripts
b7c6d012f7c4debc52bf284a7162ee20
0c7400e89b72706fa5fdf002acc4c85e
1448f60a07a293b5d07f26f80588f65a
d066ef2c687db825d5aef0b5a5138cfd
bc6626d5b5647cc7cc4253b888ac8516
4ae33660987f773770c4207bfd43ddda
042ba955577e39b8dd6f59020bc591e9
1cdc311223976e7088a283e96bdeffac
13bea407806390f8c3f823a5ebdcae59
42c620536312b159958aaffe5f84fcac
c310a59441e5e419479a8e31c6de2027
ce13a2659baf3b95b695b2337acdd968
f07119596558726f54ebbf2d6ff82061
b00bd226aeefc71a729309efce9dbda1
2be10977754feb7381ea6b388657eed6
5b5e20ed4afb16d0a56ed0f8050edae9
7db7a54f32428e6066ea71974173e42a
01feeaa06d5cec769a64e6a664859e9e
43f5fac549905a696c86c0dd5780fa3f
593ffac15b20e8a07d074fdf6eefeaf3
6980b0b506c352b3c8926a3c7d324090
f43f60953ef7d8b76de9aeb9fb7361a0
06a823a814483ac1b6538e7b21d65fc1
a710fcda88f38e31126be00ba6d1ccf3
d3146506f1853dc09a0badbd4537d7d5

VBS downloader scripts
6057e095bde4248001720a5a794c9123
0e8a4119f707962556dfa4e4f92bd2be
0e4b77bd1566f5b0e6a92c8578bfe35c
968e28a239376460abe4d3f49bf5fc2e
68c2a18a3cee9ca622bb05a03487d85d
58d3397ca1846e6a768d7796bf0fa948
0a2c4b8bf40b42d55a223f774d6bc1f0
3383a9d7b07048f054077f952f26237c
019ba9aacde1588af3ed9b75618800fa
8eec5518a38c2df588233cb5a11a1f4f
d7d0216028e3b70d641b925551021658
05364e6a6fc3443cfa1df64aeaf07e01
7cfef6d991b141855e390d9a8f242ba3
292133107a4a88cd971be0e91e277300
a89ea3a2a6c6d068d9ea58653a3b4b41
b3bf7037b5f0ad26af449ce2919023ed
7a8137536d96d4f10c8a5b0502ffb1f0
70de561caafcdc902b7f6cb0f05bf133
91688fd25face087026508f94f20ead7
961d5d61a832a9f6895a7ff8a3c50d58
4dcd2b24d5c921943eacc0ed68d84f96
475e71ffd0db6563d734621e5e24a377
c1422eafb6c31c7863dd9d494c16a189
b09f1d2dd27f6721bede378d1e572fcb
616d5906ba7bfdb265f98769b9d0d803

C&C IPs:
78.108.93.185
192.162.103.213
192.162.103.118
5.187.5.171
185.20.185.119

< Threat Labs
Next Story >
< Back
Next >
author image
Umesh Wanve
Read More
More Articles by Umesh Wanve
Read full Bio
More articles

Related Articles

card shape
Threat Labs

Netskope Threat Labs Stats for March 2024

By Leandro Fróes
chevron Read the blog
card shape
Threat Labs

Netskope Threat Coverage: Evil Ant Ransomware

By Ghanashyam Satpathy
chevron Read the blog
card shape
Threat Labs

Cloud Threats Memo: Multiple Legitimate Cloud Storage Services Exploited to Target Israeli Organizations

By Paolo Passeri
chevron Read the blog
Show More

Stay informed!

Subscribe for the latest from the Netskope Blog