Sofisticirana nova porodica ransomware-a, nazvana NotLockBit , stvara talase u svijetu sajber-sigurnosti sa svojim naprednim mogućnostima i funkcionalnošću na više platformi. Oponašajući tehnike LockBit ransomware-a , NotLockBit se pokazao kao velika nova prijetnja, ciljajući i macOS i Windows operativne sisteme sa prilagođenim strategijama napada.
Distribuisan kao x86_64 binarni fajl napisan u programskom jeziku Go, NotLockBit je prepun naprednih karakteristika koje poboljšavaju njegovu efikasnost i destruktivnost. Ključne funkcionalnosti uključuju:
- Ciljano šifrovanje datoteka : ransomware koristi robusne protokole za šifrovanje poput AES i RSA za šifrovanje osjetljivih podataka, čineći ih nedostupnim bez napadačevog privatnog ključa za dešifrovanje.
- Eksfiltracija podataka : Ukradeni podaci se prenose u skladišta pod kontrolom napadača, kao što su Amazon S3 bucket, omogućavajući dvostruku iznudu, prijeteći i gubitkom podataka i izlaganjem podataka.
- Mehanizmi samobrisanja : Da bi eliminisao opcije oporavka, NotLockBit briše svoje vlastite tragove, uključujući kopije u sjeni i svoj binarni program za izvršavanje.
Istraživači sajber sigurnosti u Qualysu identifikovali su NotLockBit kao naprednu i vrlo prilagodljivu vrstu ransomwarea. „Ova nova varijanta pokazuje značajnu sofisticiranost, kombinujući enkripciju, krađu podataka i samouklanjanje kako bi se maksimizirao njen uticaj“, istakli su istraživači.
Tehnički slom: Kako funkcioniše NotLockBit
Nakon izvršenja, NotLockBit pokreće detaljnu fazu izviđanja, posebno optimizovanu za macOS okruženja. Koristeći go-sysinfo modul, ransomware prikuplja opsežne informacije o sistemu, uključujući:
- Specifikacije hardvera
- Verzija operativnog sistema
- Mrežne konfiguracije
- Jedinstveni identifikatori (UUID)
Ransomware koristi strategiju šifrovanja u više koraka:
- Dekodira ugrađeni RSA javni ključ iz PEM datoteke.
- Generiše nasumični glavni ključ za šifrovanje, šifrovan korištenjem ekstrahovanog RSA javnog ključa.
- Šifruje korisničke datoteke, zaobilazeći kritične sistemske direktorije kao što su
/proc/
,/sys/
, i/dev/
.
Šifrovane datoteke zadržavaju svoju originalnu lokaciju, ali se preimenuju sa jedinstvenim identifikatorom praćenim ekstenzijom .abcd . Originalne datoteke se brišu, što čini oporavak datoteke bez privatnog ključa za dešifrovanje gotovo nemogućim.
NotLockBit daje prioritet širokom rasponu tipova datoteka kako bi maksimizirao štetu, uključujući:
- Lični dokumenti :
.doc
,.pdf
,.txt
- Profesionalni fajlovi :
.csv
,.xls
,.ppt
- Multimedija :
.jpg
,.png
,.mpg
- Podaci virtuelne mašine :
.vmdk
,.vmsd
,.vbox
Ovaj namjerni odabir ističe fokus ransomware-a na podatke visoke vrijednosti.
Pored enkripcije, NotLockBit eksfiltrira osjetljive datoteke u pohranu u oblaku koju kontrolišu napadači, prvenstveno koristeći Amazon S3 bucket. To omogućava napadačima da prijete žrtvama javnom objavom ili prodajom ukradenih podataka, povećavajući pritisak da plate otkupninu.
Za korisnike macOS-a, NotLockBit koristi naredbu osascript da programski promijeni pozadinu radne površine, zamjenjujući je napomenom o otkupnini. Ovo služi kao vizuelni marker završetka napada.
Ransomware završava svoj napad izvršavanjem mehanizma samobrisanja.
NotLockBit koristi različite nivoe zamagljivanja kako bi ometao otkrivanje i analizu. Dok neki uzorci pokazuju vidljiva imena funkcija, drugi su potpuno zamagljeni ili ogoljeni, što komplikuje napore obrnutog inženjeringa. Određene varijante u potpunosti izostavljaju eksfiltraciju podataka, što sugeriše tekući razvoj ili prilagođavanje za specifične scenarije napada.
Detekcija i strategije ublažavanja
S obzirom na sofisticiranost NotLockBita , robusne mjere detekcije i ublažavanja su od suštinskog značaja. Qualys je potvrdio sposobnost svojih EDR & EPP rješenja da otkriju i stave u karantin ransomware nakon preuzimanja.
Za borbu protiv prijetnji ransomware-a kao što je NotLockBit , organizacijama se savjetuje da implementiraju sljedeće najbolje prakse:
- Redovne sigurnosne kopije : Održavajte vanmrežne sigurnosne kopije kritičnih podataka kako biste osigurali opcije oporavka.
- Zaštita krajnje tačke : implementirajte napredna rješenja za otkrivanje kako biste rano identificirali zlonamjerno ponašanje.
- Mrežna sigurnost : Koristite zaštitne zidove, sisteme za otkrivanje upada (IDS) i stroge kontrole pristupa.
- Obuka zaposlenih : Obrazujte korisnike o prepoznavanju krađe identiteta i drugih taktika društvenog inženjeringa.
Izvor: CyberSecurityNews