NotLockBit Ransomware: de misleidende bedreiging gericht op Windows en Mac
Table of Contents
Wat is NotLockBit Ransomware?
NotLockBit is een geavanceerde ransomwarevariant die is ontworpen om te lijken op de bekende LockBit-ransomware , een tactiek die erop gericht is slachtoffers te verwarren en detectie te ontwijken. In tegenstelling tot veel ransomwarebedreigingen die zich op één besturingssysteem richten, is NotLockBit ontworpen om zowel Windows- als Mac-computers aan te vallen, waardoor het bereik aanzienlijk wordt vergroot. Eenmaal binnen een systeem versleutelt en exfiltreert het bestanden, waardoor aanvallers controle krijgen over de versleutelde gegevens en slachtoffers tegelijkertijd kunnen bedreigen met blootstelling van gevoelige informatie. Bovendien brengt NotLockBit wijzigingen aan in de bureaubladachtergrond van de gebruiker, waardoor er een digitale herinnering aan zijn aanwezigheid achterblijft.
Naast encryptie hernoemt NotLockBit bestanden met een apart formaat dat een initialisatievector en een ".abcd"-extensie bevat. Dit hernoemingsproces heeft invloed op een breed scala aan bestandstypen, zoals documenten, afbeeldingen en andere gegevens die essentieel zijn voor gebruikers. Het bestand "document.pdf" kan bijvoorbeeld worden omgezet in "document.pdf.3544329bb141eea628f7c3bff6c79c11.abcd", waardoor het voor slachtoffers duidelijk wordt dat de aanvallers hun bestanden hebben vergrendeld.
De losgeldbrief: een vermomde waarschuwing
De losgeldnota die NotLockBit presenteert, is ontworpen om die van de echte LockBit-ransomware na te bootsen, met als doel slachtoffers te laten geloven dat ze te maken hebben met deze beruchte ransomwaregroep. In de nota informeren de aanvallers slachtoffers dat hun bestanden zowel zijn versleuteld als gestolen, waardoor aanvallers de mogelijkheid hebben om zowel dataverlies als publieke blootstelling te bedreigen. Deze dubbele afpersingstactiek komt steeds vaker voor, omdat het slachtoffers niet alleen onder druk zet met het verlies van data, maar ook met mogelijke reputatieschade als gevoelige bestanden worden gelekt.
In een ongebruikelijke wending presenteert de notitie slachtoffers een verleidelijk voorstel: als ze helpen bij het infiltreren van de netwerken van andere bedrijven, kunnen ze "miljoenen" verdienen via deze illegale activiteiten. Slachtoffers worden geïnstrueerd om inloggegevens te verstrekken voor diensten zoals RDP, VPN of zakelijke e-mailaccounts of zelfs om een malwarebestand uit te voeren op een bedrijfscomputer. Communicatie met de aanvallers wordt gefaciliteerd via Tox Messenger, een beveiligde chattoepassing, en de notitie bevat een ToxID voor direct contact.
Hoe NotLockBit Ransomware werkt
NotLockBit's operationele proces op een geïnfecteerde machine is zeer gericht. Wanneer het voor het eerst wordt gestart, haalt de ransomware de unieke ID van de machine op en scant vervolgens bestanden op het systeem. Op macOS richt de ransomware zich op bestanden in de rootdirectory terwijl bepaalde directory's worden omzeild om detectie te voorkomen. Bestanden zoals documenten, afbeeldingen en verschillende gegevenstypen lopen bijzonder risico, omdat ze worden gecodeerd en naar een Amazon S3-bucket worden gestuurd die door de aanvallers wordt beheerd. Deze combinatie van codering en bestandsexfiltratie voegt een unieke laag van gevaar toe, omdat gebruikers het risico lopen zowel hun bestanden als hun gegevensprivacy te verliezen.
Op macOS gebruikt NotLockBit de opdracht "osascript" om de bureaubladachtergrond te wijzigen, en voor Windows gebruikt het de functie SystemParametersInfoW om deze wijzigingen door te voeren. In sommige Windows-varianten bevat NotLockBit ook code die is ontworpen om schaduwkopieën of back-ups te verwijderen, waardoor het voor gebruikers nog moeilijker wordt om hun bestanden te herstellen zonder losgeld te betalen.
Het Ransomware Landschap: NotLockBit en zijn soortgenoten
Ransomware is een van de meest voorkomende en financieel schadelijke soorten cyberbedreigingen geworden. Door slachtoffers uit hun bestanden te sluiten en losgeld te eisen voor toegang, dwingt ransomware zoals NotLockBit slachtoffers om moeilijke beslissingen te nemen onder druk. Hoewel sommige personen en bedrijven kunnen proberen te onderhandelen of zelfs te betalen om hun bestanden te herstellen, raden experts deze aanpak ten zeerste af, omdat het geen garantie biedt dat aanvallers de decodering ook daadwerkelijk zullen uitvoeren. Eerdere gevallen hebben aangetoond dat sommige aanvallers zelfs na betaling gegevens kunnen blijven achterhouden, waardoor betaling een riskante strategie is.
De LockBit-ransomwarefamilie, samen met varianten zoals NK en Ztax , is onderdeel van een wereldwijde trend waarbij cybercriminelen ransomware gebruiken voor winst. De unieke aanpak van NotLockBit — vermomd als een andere variant en gericht op zowel Windows als Mac — benadrukt de voortdurende innovatie binnen het ransomwarelandschap, waardoor waakzaamheid essentieel is.
Methoden voor de distributie van ransomware
Ransomware-ontwikkelaars gebruiken een breed scala aan technieken om de systemen van slachtoffers te infecteren. NotLockBit en soortgelijke bedreigingen worden vaak verspreid via phishing-e-mails met schadelijke bijlagen of links. Daarnaast kunnen cybercriminelen ransomware insluiten in illegale software, sleutelgeneratoren en crackingtools, waardoor het cruciaal is om ongeautoriseerde softwaredownloads te vermijden. Gebruikers die illegale bestanden downloaden of interactie hebben met twijfelachtige online advertenties en pop-ups lopen ook het risico om ten prooi te vallen aan ransomware.
Een andere veelvoorkomende distributiemethode is het uitbuiten van softwarekwetsbaarheden. Dreigingsactoren maken misbruik van ongepatchte systemen en dringen binnen via zwakke plekken in software. Andere tactieken zijn het gebruik van geïnfecteerde USB-sticks, peer-to-peer-netwerken en downloadsites van derden. Vaak worden schadelijke bestanden zoals MS Office-documenten, PDF's, uitvoerbare bestanden en JavaScript gebruikt om gebruikers te misleiden zodat ze onbewust hun systemen infecteren.
Bescherming tegen NotLockBit Ransomware
Met de toenemende verfijning van ransomware zoals NotLockBit is het essentieel om veilig online gedrag te vertonen en regelmatige veiligheidsmaatregelen te handhaven. Een belangrijke preventieve strategie is om regelmatig back-ups te maken die op externe schijven of beveiligde cloudopslag worden opgeslagen, zodat gegevens kunnen worden hersteld zonder dat aanvallers betrokken raken. Bovendien kan het up-to-date houden van antivirus- en anti-malwaresoftware, evenals het regelmatig updaten van besturingssystemen, browsers en software, helpen om potentiële beveiligingslekken te dichten die ransomware kan misbruiken.
Waakzaam blijven voor verdachte e-mails, bijlagen en links is ook essentieel om het risico op infectie te verminderen. Vermijd het klikken op advertenties of pop-ups van onbetrouwbare websites en wees voorzichtig bij het downloaden van bestanden van onbekende bronnen. Deze proactieve aanpak kan een sterke verdedigingslinie zijn tegen ransomware zoals NotLockBit.
Voorbij blijven aan ransomware-bedreigingen
NotLockBit vertegenwoordigt de groeiende complexiteit van moderne ransomware-aanvallen, die nu misleidende technieken gebruiken om een breder scala aan gebruikers op meerdere platforms te targeten. Door op de hoogte te blijven van deze evoluerende tactieken en sterke cybersecuritypraktijken te implementeren, kunnen zowel individuen als organisaties het risico op ransomware-aanvallen verkleinen. Met de juiste voorzorgsmaatregelen kunnen gebruikers veiliger door de online wereld navigeren en effectief reageren als ze bedreigingen zoals NotLockBit tegenkomen.
