Site icon Kiber.ba

Novi “NotLockBit” Ransomware napad na Windows i macOS

Novi “NotLockBit” Ransomware napad na Windows i macOS-Kiber.ba

Novi “NotLockBit” Ransomware napad na Windows i macOS-Kiber.ba

Sofisticirana nova porodica ransomware-a, nazvana NotLockBit , stvara talase u svijetu sajber-sigurnosti sa svojim naprednim mogućnostima i funkcionalnošću na više platformi. Oponašajući tehnike LockBit ransomware-a , NotLockBit se pokazao kao velika nova prijetnja, ciljajući i macOS i Windows operativne sisteme sa prilagođenim strategijama napada.

Distribuisan kao x86_64 binarni fajl napisan u programskom jeziku Go, NotLockBit je prepun naprednih karakteristika koje poboljšavaju njegovu efikasnost i destruktivnost. Ključne funkcionalnosti uključuju:

Istraživači sajber sigurnosti u Qualysu identifikovali su NotLockBit kao naprednu i vrlo prilagodljivu vrstu ransomwarea. „Ova nova varijanta pokazuje značajnu sofisticiranost, kombinujući enkripciju, krađu podataka i samouklanjanje kako bi se maksimizirao njen uticaj“, istakli su istraživači.

Tehnički slom: Kako funkcioniše NotLockBit

Nakon izvršenja, NotLockBit pokreće detaljnu fazu izviđanja, posebno optimizovanu za macOS okruženja. Koristeći go-sysinfo modul, ransomware prikuplja opsežne informacije o sistemu, uključujući:

Ransomware koristi strategiju šifrovanja u više koraka:

  1. Dekodira ugrađeni RSA javni ključ iz PEM datoteke.
  2. Generiše nasumični glavni ključ za šifrovanje, šifrovan korištenjem ekstrahovanog RSA javnog ključa.
  3. Šifruje korisničke datoteke, zaobilazeći kritične sistemske direktorije kao što su /proc//sys/, i /dev/.

Šifrovane datoteke zadržavaju svoju originalnu lokaciju, ali se preimenuju sa jedinstvenim identifikatorom praćenim ekstenzijom .abcd . Originalne datoteke se brišu, što čini oporavak datoteke bez privatnog ključa za dešifrovanje gotovo nemogućim.

NotLockBit daje prioritet širokom rasponu tipova datoteka kako bi maksimizirao štetu, uključujući:

Ovaj namjerni odabir ističe fokus ransomware-a na podatke visoke vrijednosti.

Pored enkripcije, NotLockBit eksfiltrira osjetljive datoteke u pohranu u oblaku koju kontrolišu napadači, prvenstveno koristeći Amazon S3 bucket. To omogućava napadačima da prijete žrtvama javnom objavom ili prodajom ukradenih podataka, povećavajući pritisak da plate otkupninu.

Za korisnike macOS-a, NotLockBit koristi naredbu osascript da programski promijeni pozadinu radne površine, zamjenjujući je napomenom o otkupnini. Ovo služi kao vizuelni marker završetka napada.

Bilješke o otkupnini

Ransomware završava svoj napad izvršavanjem mehanizma samobrisanja.

NotLockBit koristi različite nivoe zamagljivanja kako bi ometao otkrivanje i analizu. Dok neki uzorci pokazuju vidljiva imena funkcija, drugi su potpuno zamagljeni ili ogoljeni, što komplikuje napore obrnutog inženjeringa. Određene varijante u potpunosti izostavljaju eksfiltraciju podataka, što sugeriše tekući razvoj ili prilagođavanje za specifične scenarije napada.

Detekcija i strategije ublažavanja

S obzirom na sofisticiranost NotLockBita , robusne mjere detekcije i ublažavanja su od suštinskog značaja. Qualys je potvrdio sposobnost svojih EDR & EPP rješenja da otkriju i stave u karantin ransomware nakon preuzimanja.

Za borbu protiv prijetnji ransomware-a kao što je NotLockBit , organizacijama se savjetuje da implementiraju sljedeće najbolje prakse:

  1. Redovne sigurnosne kopije : Održavajte vanmrežne sigurnosne kopije kritičnih podataka kako biste osigurali opcije oporavka.
  2. Zaštita krajnje tačke : implementirajte napredna rješenja za otkrivanje kako biste rano identificirali zlonamjerno ponašanje.
  3. Mrežna sigurnost : Koristite zaštitne zidove, sisteme za otkrivanje upada (IDS) i stroge kontrole pristupa.
  4. Obuka zaposlenih : Obrazujte korisnike o prepoznavanju krađe identiteta i drugih taktika društvenog inženjeringa.

Izvor: CyberSecurityNews

Exit mobile version