NotLockBit Ransomware: Die betrügerische Bedrohung zielt auf Windows und Mac ab
Table of Contents
Was ist NotLockBit Ransomware?
NotLockBit ist eine ausgeklügelte Ransomware-Variante, die wie die bekannte LockBit-Ransomware aussieht. Diese Taktik zielt darauf ab, die Opfer zu verwirren und einer Entdeckung zu entgehen. Im Gegensatz zu vielen Ransomware-Bedrohungen, die sich auf ein Betriebssystem konzentrieren, zielt NotLockBit sowohl auf Windows- als auch auf Mac-Computer ab, was seine Reichweite erheblich erweitert. Sobald es in ein System eingedrungen ist, verschlüsselt und exfiltriert es Dateien, wodurch Angreifer Kontrolle über die verschlüsselten Daten erhalten und gleichzeitig Opfer mit der Offenlegung vertraulicher Informationen bedrohen können. Darüber hinaus nimmt NotLockBit Änderungen am Desktop-Hintergrund des Benutzers vor und hinterlässt so eine digitale Erinnerung an seine Anwesenheit.
Neben der Verschlüsselung benennt NotLockBit Dateien in einem speziellen Format um, das einen Initialisierungsvektor und die Erweiterung „.abcd“ enthält. Dieser Umbenennungsprozess betrifft eine Vielzahl von Dateitypen, wie Dokumente, Bilder und andere für Benutzer wichtige Daten. Beispielsweise könnte die Datei „document.pdf“ in „document.pdf.3544329bb141eea628f7c3bff6c79c11.abcd“ umgewandelt werden, wodurch den Opfern klar wird, dass die Angreifer ihre Dateien gesperrt haben.
Der Erpresserbrief: Eine getarnte Warnung
Der von NotLockBit vorgelegte Erpresserbrief ist so gestaltet, dass er dem der echten LockBit-Ransomware ähnelt, und soll die Opfer dazu verleiten, zu glauben, dass sie es mit dieser berüchtigten Ransomware-Gruppe zu tun haben. In dem Brief informieren die Angreifer die Opfer darüber, dass ihre Dateien sowohl verschlüsselt als auch gestohlen wurden, wodurch die Angreifer sowohl mit Datenverlust als auch mit öffentlicher Bloßstellung drohen können. Diese doppelte Erpressungstaktik wird immer häufiger, da sie die Opfer nicht nur mit dem Verlust von Daten unter Druck setzt, sondern ihnen auch einen potenziellen Reputationsschaden zufügt, wenn vertrauliche Dateien durchsickern.
In einer ungewöhnlichen Wendung präsentiert die Notiz den Opfern ein verlockendes Angebot: Wenn sie dabei helfen, die Netzwerke anderer Unternehmen zu infiltrieren, können sie durch diese illegalen Aktivitäten „Millionen verdienen“. Die Opfer werden aufgefordert, Anmeldeinformationen für Dienste wie RDP, VPN oder Unternehmens-E-Mail-Konten bereitzustellen oder sogar eine Malware-Datei auf einem Unternehmenscomputer auszuführen. Die Kommunikation mit den Angreifern wird über Tox Messenger, eine sichere Chat-Anwendung, erleichtert, und die Notiz enthält eine ToxID für den direkten Kontakt.
So funktioniert die NotLockBit-Ransomware
Der Betriebsvorgang von NotLockBit auf einem infizierten Computer ist sehr zielgerichtet. Beim ersten Start ruft die Ransomware die eindeutige ID des Computers ab und scannt dann Dateien im gesamten System. Unter macOS zielt die Ransomware auf Dateien im Stammverzeichnis ab und umgeht dabei bestimmte Verzeichnisse, um nicht erkannt zu werden. Dateien wie Dokumente, Bilder und verschiedene Datentypen sind besonders gefährdet, da sie verschlüsselt und an einen von den Angreifern kontrollierten Amazon S3-Bucket gesendet werden. Diese Kombination aus Verschlüsselung und Dateiexfiltration fügt eine einzigartige Gefahrenebene hinzu, da Benutzer riskieren, sowohl ihre Dateien als auch ihre Datensicherheit zu verlieren.
Unter macOS verwendet NotLockBit den Befehl „osascript“, um das Desktop-Hintergrundbild zu ändern, und unter Windows verwendet es die Funktion SystemParametersInfoW, um diese Änderungen vorzunehmen. In einigen Windows-Varianten enthält NotLockBit auch Code zum Löschen von Schattenkopien oder Backups, wodurch es für Benutzer noch schwieriger wird, ihre Dateien wiederherzustellen, ohne das Lösegeld zu zahlen.
Die Ransomware-Landschaft: NotLockBit und seine Konkurrenten
Ransomware ist zu einer der am weitesten verbreiteten und finanziell schädlichsten Arten von Cyberbedrohungen geworden. Indem Opfer aus ihren Dateien ausgesperrt und ein Lösegeld für den Zugriff verlangt wird, zwingt Ransomware wie NotLockBit die Opfer dazu, unter Druck schwierige Entscheidungen zu treffen. Während einige Einzelpersonen und Unternehmen versuchen, zu verhandeln oder sogar zu zahlen, um ihre Dateien wiederherzustellen, raten Experten dringend von diesem Ansatz ab, da er keine Garantie dafür bietet, dass Angreifer die Entschlüsselung auch tatsächlich durchführen. Frühere Fälle haben gezeigt, dass einige Angreifer selbst nach der Zahlung weiterhin Daten zurückhalten können, was die Zahlung zu einer riskanten Strategie macht.
Die Ransomware-Familie LockBit ist neben Varianten wie NK und Ztax Teil eines globalen Trends, bei dem Cyberkriminelle Ransomware zu ihrem eigenen Vorteil nutzen. Der einzigartige Ansatz von NotLockBit – sich als eine andere Variante auszugeben und sowohl Windows als auch Mac anzugreifen – unterstreicht die kontinuierliche Innovation in der Ransomware-Landschaft, weshalb Wachsamkeit unerlässlich ist.
Methoden der Ransomware-Verbreitung
Ransomware-Entwickler verwenden eine breite Palette von Techniken, um die Systeme der Opfer zu infizieren. NotLockBit und ähnliche Bedrohungen werden häufig über Phishing-E-Mails mit schädlichen Anhängen oder Links verbreitet. Darüber hinaus können Cyberkriminelle Ransomware in Raubkopien, Schlüsselgeneratoren und Cracking-Tools einbetten, weshalb es entscheidend ist, nicht autorisierte Software-Downloads zu vermeiden. Benutzer, die Raubkopien herunterladen oder mit fragwürdigen Online-Anzeigen und Popups interagieren, laufen ebenfalls Gefahr, Opfer von Ransomware zu werden.
Eine weitere gängige Verbreitungsmethode ist die Ausnutzung von Software-Schwachstellen. Bedrohungsakteure nutzen ungepatchte Systeme aus und dringen über Schwachstellen in der Software ein. Andere Taktiken umfassen die Verwendung infizierter USB-Laufwerke, Peer-to-Peer-Netzwerke und Download-Sites von Drittanbietern. Häufig werden bösartige Dateien wie MS Office-Dokumente, PDFs, ausführbare Dateien und JavaScript verwendet, um Benutzer dazu zu verleiten, ihre Systeme unwissentlich zu infizieren.
Schutz vor NotLockBit Ransomware
Angesichts der zunehmenden Raffinesse von Ransomware wie NotLockBit ist es unerlässlich, sich online sicher zu verhalten und regelmäßige Sicherheitsmaßnahmen zu ergreifen. Eine wichtige Präventionsstrategie besteht darin, regelmäßig Backups auf externen Laufwerken oder in einem sicheren Cloud-Speicher zu erstellen, um sicherzustellen, dass Daten wiederhergestellt werden können, ohne dass Angreifer darauf reagieren müssen. Darüber hinaus können Sie potenzielle Sicherheitslücken schließen, die von Ransomware ausgenutzt werden könnten, indem Sie Ihre Antiviren- und Anti-Malware-Software auf dem neuesten Stand halten und regelmäßig Betriebssysteme, Browser und Software aktualisieren.
Um das Infektionsrisiko zu verringern, ist es außerdem wichtig, wachsam gegenüber verdächtigen E-Mails, Anhängen und Links zu bleiben. Klicken Sie nicht auf Anzeigen oder Popups von nicht vertrauenswürdigen Websites und seien Sie vorsichtig, wenn Sie Dateien aus unbekannten Quellen herunterladen. Dieser proaktive Ansatz kann eine starke Verteidigungslinie gegen Ransomware wie NotLockBit sein.
Ransomware-Bedrohungen immer einen Schritt voraus
NotLockBit steht für die zunehmende Komplexität moderner Ransomware-Angriffe, die mittlerweile irreführende Techniken verwenden, um eine größere Anzahl von Benutzern auf mehreren Plattformen anzugreifen. Indem sie sich über diese sich entwickelnden Taktiken auf dem Laufenden halten und strenge Cybersicherheitspraktiken implementieren, können sowohl Einzelpersonen als auch Organisationen das Risiko von Ransomware-Angriffen verringern. Mit den richtigen Vorsichtsmaßnahmen können Benutzer sicherer in der Online-Welt navigieren und effektiv reagieren, wenn sie auf Bedrohungen wie NotLockBit stoßen.
