Ένα νέο ransomware, με το όνομα NotLockBit, μιμείται τις τεχνικές του γνωστού LockBit ransomware και στοχεύει συστήματα macOS και Windows.
Γραμμένο σε Go, το NotLockBit ransomware διαθέτει πολλά προηγμένα χαρακτηριστικά που ενισχύουν την αποτελεσματικότητά του και την καταστροφικότητά του. Οι βασικές λειτουργίες περιλαμβάνουν:
Στοχευμένη κρυπτογράφηση αρχείων: Το ransomware χρησιμοποιεί ισχυρά πρωτόκολλα κρυπτογράφησης, όπως AES και RSA, για την κρυπτογράφηση ευαίσθητων δεδομένων.
Κλοπή δεδομένων: Τα κλεμμένα δεδομένα μεταφέρονται σε repositories που ελέγχονται από τους εισβολείς και επιτρέπουν τον διπλό εκβιασμό. Οι hackers πιέζουν τα θύματα να πληρώσουν λύτρα για την κρυπτογράφηση δεδομένων και παράλληλα απειλούν με δημόσια έκθεση δεδομένων.
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Μηχανισμοί αυτοδιαγραφής: Για την εξάλειψη των επιλογών ανάκτησης, το NotLockBit διαγράφει τα ίχνη του, συμπεριλαμβανομένων των shadow copies και του execution binary.
Δείτε επίσης: Rhode Island: Παραβίαση δεδομένων μετά την επίθεση του Brain Cipher ransomware
Οι ερευνητές κυβερνοασφάλειας στην Qualys αναγνώρισαν το NotLockBit ως ένα προηγμένο και εξαιρετικά προσαρμοστικό ransomware. «Αυτή η νέα παραλλαγή επιδεικνύει σημαντική πολυπλοκότητα, συνδυάζοντας κρυπτογράφηση, κλοπή δεδομένων και αυτο-αφαίρεση για να μεγιστοποιήσει τον αντίκτυπό της», σημείωσαν οι ερευνητές.
Πώς λειτουργεί το NotLockBit ransomware
Μόλις εκτελεστεί, το NotLockBit ξεκινά μια λεπτομερή φάση reconnaissance, ιδιαίτερα βελτιστοποιημένη για περιβάλλοντα macOS. Χρησιμοποιώντας το go-sysinfo module, το ransomware συλλέγει εκτενείς πληροφορίες συστήματος, όπως: προδιαγραφές hardware, έκδοση λειτουργικού συστήματος, διαμορφώσεις δικτύου και Unique identifiers (UUID).
Το ransomware χρησιμοποιεί μια στρατηγική κρυπτογράφησης πολλαπλών βημάτων:
- Αποκωδικοποιεί ένα ενσωματωμένο δημόσιο κλειδί RSA από ένα αρχείο PEM.
- Δημιουργεί ένα τυχαίο master encryption key.
- Κρυπτογραφεί τα αρχεία χρήστη, παρακάμπτοντας κρίσιμους καταλόγους συστήματος όπως /proc/, /sys/ και /dev/.
Στα κρυπτογραφημένα αρχεία, προστίθεται η επέκταση .abcd. Τα αρχικά αρχεία διαγράφονται, καθιστώντας την ανάκτηση αρχείων σχεδόν αδύνατη.
Δείτε επίσης: Το Clop ransomware λέει ότι βρίσκεται πίσω από τις επιθέσεις Cleo
Το NotLockBit ransomware δίνει έμφαση σε συγκεκριμένους τύπους αρχείων για να προκαλέσει μεγαλύτερη ζημιά στα θύματα:
- Προσωπικά έγγραφα: .doc, .pdf, .txt
- Επαγγελματικά αρχεία: .csv, .xls, .ppt
- Πολυμέσα: .jpg, .png, .mpg
- Virtual machine data: .vmdk, .vmsd, .vbox
Για χρήστες macOS, το NotLockBit χρησιμοποιεί την εντολή osascript για να αλλάξει μέσω προγραμματισμού το φόντο της επιφάνειας εργασίας, αντικαθιστώντας το με ένα σημείωμα λύτρων.
Το ransomware ολοκληρώνει την επίθεσή του εκτελώντας το μηχανισμό αυτοδιαγραφής:
- Αφαίρεση του binary από το μολυσμένο σύστημα.
- Διαγραφή shadow copies για παρεμπόδιση των προσπαθειών ανάκτησης.
Το NotLockBit χρησιμοποιεί διαφορετικά επίπεδα obfuscation για να εμποδίσει τον εντοπισμό και την ανάλυση.
Δείτε επίσης: Νοέμβριος 2024: Αυξημένη δραστηριότητα των Akira & RansomHub ransomware
Προστασία από ransomware
- Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
- Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
- Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
- Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
- Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
Πηγή: cybersecuritynews.com