More

    Novi “NotLockBit” Ransomware napad na Windows i macOS

    Sofisticirana nova porodica ransomware-a, nazvana NotLockBit , stvara talase u svijetu sajber-sigurnosti sa svojim naprednim mogućnostima i funkcionalnošću na više platformi. Oponašajući tehnike LockBit ransomware-a , NotLockBit se pokazao kao velika nova prijetnja, ciljajući i macOS i Windows operativne sisteme sa prilagođenim strategijama napada.

    Distribuisan kao x86_64 binarni fajl napisan u programskom jeziku Go, NotLockBit je prepun naprednih karakteristika koje poboljšavaju njegovu efikasnost i destruktivnost. Ključne funkcionalnosti uključuju:

    • Ciljano šifrovanje datoteka : ransomware koristi robusne protokole za šifrovanje poput AES i RSA za šifrovanje osjetljivih podataka, čineći ih nedostupnim bez napadačevog privatnog ključa za dešifrovanje.
    • Eksfiltracija podataka : Ukradeni podaci se prenose u skladišta pod kontrolom napadača, kao što su Amazon S3 bucket, omogućavajući dvostruku iznudu, prijeteći i gubitkom podataka i izlaganjem podataka.
    • Mehanizmi samobrisanja : Da bi eliminisao opcije oporavka, NotLockBit briše svoje vlastite tragove, uključujući kopije u sjeni i svoj binarni program za izvršavanje.

    Istraživači sajber sigurnosti u Qualysu identifikovali su NotLockBit kao naprednu i vrlo prilagodljivu vrstu ransomwarea. „Ova nova varijanta pokazuje značajnu sofisticiranost, kombinujući enkripciju, krađu podataka i samouklanjanje kako bi se maksimizirao njen uticaj“, istakli su istraživači.

    Tehnički slom: Kako funkcioniše NotLockBit

    Nakon izvršenja, NotLockBit pokreće detaljnu fazu izviđanja, posebno optimizovanu za macOS okruženja. Koristeći go-sysinfo modul, ransomware prikuplja opsežne informacije o sistemu, uključujući:

    • Specifikacije hardvera
    • Verzija operativnog sistema
    • Mrežne konfiguracije
    • Jedinstveni identifikatori (UUID)

    Ransomware koristi strategiju šifrovanja u više koraka:

    1. Dekodira ugrađeni RSA javni ključ iz PEM datoteke.
    2. Generiše nasumični glavni ključ za šifrovanje, šifrovan korištenjem ekstrahovanog RSA javnog ključa.
    3. Šifruje korisničke datoteke, zaobilazeći kritične sistemske direktorije kao što su /proc//sys/, i /dev/.

    Šifrovane datoteke zadržavaju svoju originalnu lokaciju, ali se preimenuju sa jedinstvenim identifikatorom praćenim ekstenzijom .abcd . Originalne datoteke se brišu, što čini oporavak datoteke bez privatnog ključa za dešifrovanje gotovo nemogućim.

    NotLockBit daje prioritet širokom rasponu tipova datoteka kako bi maksimizirao štetu, uključujući:

    • Lični dokumenti : .doc.pdf,.txt
    • Profesionalni fajlovi : .csv.xls,.ppt
    • Multimedija : .jpg.png,.mpg
    • Podaci virtuelne mašine : .vmdk.vmsd,.vbox

    Ovaj namjerni odabir ističe fokus ransomware-a na podatke visoke vrijednosti.

    Pored enkripcije, NotLockBit eksfiltrira osjetljive datoteke u pohranu u oblaku koju kontrolišu napadači, prvenstveno koristeći Amazon S3 bucket. To omogućava napadačima da prijete žrtvama javnom objavom ili prodajom ukradenih podataka, povećavajući pritisak da plate otkupninu.

    Za korisnike macOS-a, NotLockBit koristi naredbu osascript da programski promijeni pozadinu radne površine, zamjenjujući je napomenom o otkupnini. Ovo služi kao vizuelni marker završetka napada.

    Bilješke o otkupnini

    Ransomware završava svoj napad izvršavanjem mehanizma samobrisanja.

    NotLockBit koristi različite nivoe zamagljivanja kako bi ometao otkrivanje i analizu. Dok neki uzorci pokazuju vidljiva imena funkcija, drugi su potpuno zamagljeni ili ogoljeni, što komplikuje napore obrnutog inženjeringa. Određene varijante u potpunosti izostavljaju eksfiltraciju podataka, što sugeriše tekući razvoj ili prilagođavanje za specifične scenarije napada.

    Detekcija i strategije ublažavanja

    S obzirom na sofisticiranost NotLockBita , robusne mjere detekcije i ublažavanja su od suštinskog značaja. Qualys je potvrdio sposobnost svojih EDR & EPP rješenja da otkriju i stave u karantin ransomware nakon preuzimanja.

    Za borbu protiv prijetnji ransomware-a kao što je NotLockBit , organizacijama se savjetuje da implementiraju sljedeće najbolje prakse:

    1. Redovne sigurnosne kopije : Održavajte vanmrežne sigurnosne kopije kritičnih podataka kako biste osigurali opcije oporavka.
    2. Zaštita krajnje tačke : implementirajte napredna rješenja za otkrivanje kako biste rano identificirali zlonamjerno ponašanje.
    3. Mrežna sigurnost : Koristite zaštitne zidove, sisteme za otkrivanje upada (IDS) i stroge kontrole pristupa.
    4. Obuka zaposlenih : Obrazujte korisnike o prepoznavanju krađe identiteta i drugih taktika društvenog inženjeringa.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories