NotLockBit Ransomware: A megtévesztő fenyegetés Windowst és Macet célozva
Table of Contents
Mi az a NotLockBit Ransomware?
A NotLockBit egy kifinomult zsarolóvírus-változat, amelyet úgy terveztek, hogy úgy tűnjön, mint a jól ismert LockBit ransomware , amely taktika célja az áldozatok megzavarása és az észlelés elkerülése. Ellentétben sok zsarolóvírus-fenyegetéssel, amelyek egy operációs rendszerre összpontosítanak, a NotLockBit úgy lett kialakítva, hogy Windows és Mac számítógépeket is megcélozzon, jelentősen kiszélesítve ezzel az elérhetőséget. Miután bekerült a rendszerbe, titkosítja és kiszűri a fájlokat, ami lehetővé teszi a támadók számára a titkosított adatok feletti ellenőrzést, ugyanakkor lehetővé teszi számukra, hogy érzékeny információk felfedésével fenyegessék meg az áldozatokat. Ezenkívül a NotLockBit módosítja a felhasználó asztali háttérképét, digitális emlékeztetőt hagyva a jelenlétéről.
A titkosításon túl a NotLockBit átnevezi a fájlokat egy különálló formátum használatával, amely inicializálási vektort és ".abcd" kiterjesztést tartalmaz. Ez az átnevezési folyamat a fájltípusok széles körét érinti, például dokumentumokat, képeket és egyéb, a felhasználók számára lényeges adatokat. Például a „document.pdf” fájl átalakulhat „dokumentum.pdf.3544329bb141eea628f7c3bff6c79c11.abcd”-vé, egyértelművé téve az áldozatok számára, hogy a támadók zárolták fájljaikat.
A váltságdíj megjegyzése: álcázott figyelmeztetés
A NotLockBit által bemutatott váltságdíjat úgy tervezték, hogy utánozza a valódi LockBit ransomware-ét, és célja, hogy elhitesse az áldozatokkal, hogy ezzel a hírhedt ransomware csoporttal áll szemben. A feljegyzésben a támadók tájékoztatják az áldozatokat, hogy fájljaikat titkosították és el is lopták, így a támadók az adatvesztést és a nyilvánosságot is fenyegetik. Ez a kettős zsarolási taktika egyre elterjedtebbé válik, mivel nemcsak adatvesztéssel, hanem potenciális hírnév-károsodással is nyomást gyakorol az áldozatokra, ha érzékeny fájlok szivárognak ki.
A feljegyzés szokatlan fordulattal csábító javaslatot tesz az áldozatoknak: ha más cégek hálózataiba beszivárognak, akkor "milliókat kereshetnek" ezekkel az illegális tevékenységekkel. Az áldozatokat arra utasítják, hogy adjanak meg bejelentkezési adatokat az olyan szolgáltatásokhoz, mint az RDP, a VPN vagy a vállalati e-mail fiókok, vagy akár egy rosszindulatú programfájlt is futtatjanak a vállalati számítógépen. A támadókkal való kommunikációt a Tox messenger, egy biztonságos csevegőalkalmazás könnyíti meg, és a jegyzet tartalmaz egy ToxID-t a közvetlen kapcsolatfelvételhez.
Hogyan működik a NotLockBit Ransomware
A NotLockBit működési folyamata egy fertőzött gépen erősen célzott. Amikor először indul, a zsarolóprogram lekéri a gép egyedi azonosítóját, majd átvizsgálja a fájlokat a rendszerben. A macOS rendszeren a zsarolóprogram a gyökérkönyvtárban lévő fájlokat célozza meg, miközben megkerül bizonyos könyvtárakat az észlelés elkerülése érdekében. Az olyan fájlok, mint a dokumentumok, képek és különféle adattípusok különösen veszélyeztetettek, mivel titkosítva vannak, és a támadók által irányított Amazon S3 tárolóba küldik őket. A titkosítás és a fájlok kiszűrésének ez a kombinációja egyedülálló veszélyt jelent, mivel a felhasználók elveszíthetik fájljaikat és adatvédelmét.
MacOS rendszeren a NotLockBit az "osascript" parancsot használja az asztal háttérképének megváltoztatásához, Windows esetén pedig a SystemParametersInfoW függvényt használja ezekhez a módosításokhoz. Egyes Windows-változatokban a NotLockBit olyan kódot is tartalmaz, amely az árnyékmásolatok vagy biztonsági másolatok törlésére szolgál, így a felhasználók még nehezebbé teszik a fájlok visszaállítását a váltságdíj megfizetése nélkül.
A Ransomware táj: NotLockBit és társai
A zsarolóprogramok a kiberfenyegetések egyik legelterjedtebb és pénzügyileg károsító típusává váltak. Azáltal, hogy az áldozatokat kizárja fájljaikból, és váltságdíjat követel a hozzáférésért, a zsarolóprogramok, mint a NotLockBit, nehéz döntések meghozatalára kényszerítik az áldozatokat nyomás alatt. Míg egyes magánszemélyek és vállalkozások megpróbálhatnak tárgyalni, vagy akár fizetni is tudnak fájljaik helyreállításáért, a szakértők határozottan elutasítják ezt a megközelítést, mivel ez nem garantálja, hogy a támadók végrehajtják a visszafejtést. A korábbi esetek azt mutatják, hogy egyes támadók még fizetés után is visszatarthatják az adatokat, így a fizetés kockázatos stratégiává válik.
A LockBit ransomware család az olyan változatokkal együtt, mint az NK és a Ztax , része egy olyan globális trendnek, amelyben a kiberbűnözők profitszerzés céljából kihasználják a zsarolóvírusokat. A NotLockBit egyedülálló megközelítése – amely egy másik változatnak álcázza magát, és mind a Windowst, mind a Mac-et célozza meg – kiemeli a zsarolóvírus-környezet folyamatos innovációját, ami elengedhetetlenné teszi az éberséget.
A Ransomware terjesztésének módszerei
A Ransomware fejlesztői technikák széles skáláját alkalmazzák az áldozatok rendszereinek megfertőzésére. A NotLockBit és hasonló fenyegetések gyakran rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó adathalász e-maileken keresztül terjednek. Ezenkívül a kiberbűnözők zsarolóprogramokat ágyazhatnak be kalózszoftverekbe, kulcsgenerátorokba és feltörő eszközökbe, ami kulcsfontosságúvá teszi az illetéktelen szoftverletöltések elkerülését. Azok a felhasználók, akik kalóz fájlokat töltenek le, vagy megkérdőjelezhető online hirdetésekkel és felugró ablakokkal lépnek kapcsolatba, szintén fennáll annak a veszélye, hogy a zsarolóvírus áldozatává válnak.
Egy másik gyakori terjesztési módszer a szoftveres sebezhetőségek kihasználása. A fenyegetés szereplői kihasználják a javítatlan rendszereket, és a szoftver gyenge pontjain keresztül lépnek be. Egyéb taktikák közé tartozik a fertőzött USB-meghajtók, a peer-to-peer hálózatok és harmadik fél letöltési oldalainak használata. Gyakran rosszindulatú fájlokat, például MS Office dokumentumokat, PDF-eket, végrehajtható fájlokat és JavaScriptet használnak arra, hogy a felhasználókat megtévesszék, hogy tudtukon kívül megfertőzzék rendszereiket.
Védelem a NotLockBit Ransomware ellen
A zsarolóvírusok, például a NotLockBit egyre kifinomultabbá válásával elengedhetetlen a biztonságos online viselkedés gyakorlása és a rendszeres biztonsági intézkedések fenntartása. A legfontosabb megelőző stratégia a külső meghajtókon vagy biztonságos felhőalapú tárhelyen tárolt rendszeres biztonsági mentések készítése, amelyek biztosítják az adatok visszaállítását a támadókkal való érintkezés nélkül. Ezenkívül a víruskereső és kártevőirtó szoftverek naprakészen tartása, valamint az operációs rendszerek, böngészők és szoftverek rendszeres frissítése segíthet a zsarolóprogramok által kihasznált esetleges biztonsági rések megszüntetésében.
A gyanús e-mailekkel, mellékletekkel és hivatkozásokkal szembeni éberség szintén elengedhetetlen a fertőzés kockázatának csökkentése érdekében. Kerülje a nem megbízható webhelyekről származó hirdetésekre vagy felugró ablakokra való kattintást, és legyen óvatos, amikor ismeretlen forrásból tölt le fájlokat. Ez a proaktív megközelítés erős védelmi vonalat jelenthet a zsarolóvírusok, például a NotLockBit ellen.
Maradjon a zsarolóvírus-fenyegetések előtt
A NotLockBit a modern ransomware támadások egyre növekvő összetettségét képviseli, amelyek immár megtévesztő technikákat alkalmaznak a felhasználók szélesebb körének célba juttatására több platformon. Azáltal, hogy tájékozott marad ezekkel a fejlődő taktikákkal és szigorú kiberbiztonsági gyakorlatokkal, az egyének és a szervezetek egyaránt csökkenthetik a ransomware támadások kockázatát. A megfelelő óvintézkedésekkel a felhasználók biztonságosabban navigálhatnak az online világban, és hatékonyan reagálhatnak, ha olyan fenyegetésekkel találkoznak, mint a NotLockBit.
