NotLockBit Ransomware: la amenaza engañosa dirigida a Windows y Mac
Table of Contents
¿Qué es NotLockBit Ransomware?
NotLockBit es una variante sofisticada de ransomware diseñada para parecerse al conocido ransomware LockBit , una táctica que tiene como objetivo confundir a las víctimas y evadir la detección. A diferencia de muchas amenazas de ransomware que se centran en un sistema operativo, NotLockBit está diseñado para atacar tanto a computadoras Windows como Mac, lo que amplía significativamente su alcance. Una vez dentro de un sistema, encripta y extrae archivos, lo que les da a los atacantes control sobre los datos encriptados y también les permite amenazar a las víctimas con la exposición de información confidencial. Además, NotLockBit realiza cambios en el fondo de pantalla del escritorio del usuario, dejando un recordatorio digital de su presencia.
Además de cifrar, NotLockBit renombra los archivos utilizando un formato específico que incluye un vector de inicialización y una extensión ".abcd". Este proceso de cambio de nombre afecta a una amplia gama de tipos de archivos, como documentos, imágenes y otros datos esenciales para los usuarios. Por ejemplo, el archivo "document.pdf" podría transformarse en "document.pdf.3544329bb141eea628f7c3bff6c79c11.abcd", lo que deja claro a las víctimas que los atacantes han bloqueado sus archivos.
La nota de rescate: una advertencia disfrazada
La nota de rescate presentada por NotLockBit está diseñada para imitar la del ransomware LockBit real, con el objetivo de engañar a las víctimas haciéndoles creer que están tratando con este notorio grupo de ransomware. En la nota, los atacantes informan a las víctimas que sus archivos han sido cifrados y robados, lo que les da a los atacantes la ventaja de amenazar tanto con la pérdida de datos como con la exposición pública. Esta táctica de extorsión dual es cada vez más común, ya que presiona a las víctimas no solo con la pérdida de datos, sino también con un posible daño a la reputación si se filtran archivos confidenciales.
En un giro inusual, la nota presenta a las víctimas una propuesta tentadora: si ayudan a infiltrarse en las redes de otras empresas, pueden "ganar millones" a través de estas actividades ilegales. Se les pide a las víctimas que proporcionen credenciales de inicio de sesión para servicios como RDP, VPN o cuentas de correo electrónico corporativas o incluso que ejecuten un archivo de malware en una computadora de la empresa. La comunicación con los atacantes se facilita a través de Tox Messenger, una aplicación de chat segura, y la nota incluye un ToxID para el contacto directo.
Cómo funciona el ransomware NotLockBit
El proceso operativo de NotLockBit en una máquina infectada es muy específico. Cuando se inicia por primera vez, el ransomware recupera el ID único de la máquina y luego escanea los archivos en todo el sistema. En macOS, el ransomware apunta a los archivos en el directorio raíz mientras omite ciertos directorios para evitar ser detectado. Los archivos como documentos, imágenes y varios tipos de datos corren un riesgo especial, ya que están cifrados y se envían a un depósito de Amazon S3 controlado por los atacantes. Esta combinación de cifrado y exfiltración de archivos agrega una capa única de peligro, ya que los usuarios corren el riesgo de perder tanto sus archivos como la privacidad de sus datos.
En macOS, NotLockBit utiliza el comando "osascript" para cambiar el fondo de pantalla del escritorio y, en Windows, emplea la función SystemParametersInfoW para realizar estas modificaciones. En algunas variantes de Windows, NotLockBit también incluye código diseñado para eliminar instantáneas o copias de seguridad, lo que dificulta aún más a los usuarios restaurar sus archivos sin pagar el rescate.
El panorama del ransomware: NotLockBit y sus pares
El ransomware se ha convertido en uno de los tipos de ciberamenazas más comunes y económicamente perjudiciales. Al bloquear el acceso de las víctimas a sus archivos y exigir un rescate para acceder a ellos, los ransomware como NotLockBit obligan a las víctimas a tomar decisiones difíciles bajo presión. Si bien algunas personas y empresas pueden intentar negociar o incluso pagar para recuperar sus archivos, los expertos desaconsejan enfáticamente este enfoque, ya que no garantiza que los atacantes lleven a cabo el descifrado. Casos anteriores han demostrado que incluso después del pago, algunos atacantes pueden seguir reteniendo datos, lo que hace que el pago sea una estrategia arriesgada.
La familia de ransomware LockBit, junto con variantes como NK y Ztax , es parte de una tendencia global en la que los cibercriminales aprovechan el ransomware para obtener ganancias. El enfoque único de NotLockBit (que se hace pasar por otra variante y ataca tanto a Windows como a Mac) destaca la innovación continua dentro del panorama del ransomware, lo que hace que la vigilancia sea esencial.
Métodos de distribución de ransomware
Los desarrolladores de ransomware emplean una amplia gama de técnicas para infectar los sistemas de las víctimas. NotLockBit y otras amenazas similares suelen propagarse a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Además, los cibercriminales pueden incorporar ransomware en software pirateado, generadores de claves y herramientas de descifrado, por lo que es fundamental evitar las descargas de software no autorizadas. Los usuarios que descargan archivos pirateados o interactúan con anuncios y ventanas emergentes en línea cuestionables también corren el riesgo de ser víctimas de ransomware.
Otro método de distribución habitual es la explotación de vulnerabilidades de software. Los actores de amenazas se aprovechan de sistemas sin parches y entran a través de puntos débiles del software. Otras tácticas incluyen el uso de unidades USB infectadas, redes peer to peer y sitios de descarga de terceros. A menudo, se utilizan archivos maliciosos como documentos de MS Office, archivos PDF, archivos ejecutables y JavaScript para engañar a los usuarios para que infecten sus sistemas sin saberlo.
Cómo protegerse contra el ransomware NotLockBit
Con la creciente sofisticación de ransomware como NotLockBit, es esencial practicar un comportamiento seguro en línea y mantener medidas de seguridad periódicas. Una estrategia preventiva clave es crear copias de seguridad periódicas almacenadas en unidades externas o en un almacenamiento seguro en la nube, lo que garantiza que los datos se puedan recuperar sin tener que interactuar con los atacantes. Además, mantener actualizado el software antivirus y antimalware, así como actualizar periódicamente los sistemas operativos, los navegadores y el software, puede ayudar a cerrar posibles brechas de seguridad que el ransomware puede explotar.
Mantenerse alerta ante correos electrónicos, archivos adjuntos y enlaces sospechosos también es esencial para reducir el riesgo de infección. Evite hacer clic en anuncios o ventanas emergentes de sitios web no confiables y tenga cuidado al descargar archivos de fuentes desconocidas. Este enfoque proactivo puede ser una sólida línea de defensa contra ransomware como NotLockBit.
Cómo mantenerse a la vanguardia de las amenazas del ransomware
NotLockBit refleja la creciente complejidad de los ataques de ransomware modernos, que ahora utilizan técnicas engañosas para atacar a una gama más amplia de usuarios en múltiples plataformas. Al mantenerse informados sobre estas tácticas en evolución e implementar prácticas sólidas de ciberseguridad, tanto las personas como las organizaciones pueden reducir el riesgo de ataques de ransomware. Con las precauciones adecuadas, los usuarios pueden navegar por el mundo en línea de manera más segura y responder de manera eficaz si se encuentran con amenazas como NotLockBit.
