NotLockBit Ransomware: Zwodnicze zagrożenie atakujące systemy Windows i Mac

Czym jest NotLockBit Ransomware?

NotLockBit to wyrafinowana odmiana ransomware zaprojektowana tak, aby przypominała dobrze znanego ransomware LockBit , taktykę mającą na celu dezorientację ofiar i uniknięcie wykrycia. W przeciwieństwie do wielu zagrożeń ransomware, które koncentrują się na jednym systemie operacyjnym, NotLockBit został zaprojektowany tak, aby atakować zarówno komputery z systemem Windows, jak i Mac, znacznie poszerzając swój zasięg. Po przedostaniu się do systemu szyfruje i eksfiltruje pliki, co daje atakującym kontrolę nad zaszyfrowanymi danymi, a jednocześnie pozwala im grozić ofiarom ujawnieniem poufnych informacji. Ponadto NotLockBit wprowadza zmiany w tapecie pulpitu użytkownika, pozostawiając cyfrowe przypomnienie o swojej obecności.

Oprócz szyfrowania NotLockBit zmienia nazwy plików, używając odrębnego formatu, który obejmuje wektor inicjalizacji i rozszerzenie „.abcd”. Ten proces zmiany nazw dotyczy szerokiego zakresu typów plików, takich jak dokumenty, obrazy i inne dane istotne dla użytkowników. Na przykład plik „document.pdf” może zostać przekształcony w „document.pdf.3544329bb141eea628f7c3bff6c79c11.abcd”, dając jasno do zrozumienia ofiarom, że atakujący zablokowali ich pliki.

List z żądaniem okupu: ukryte ostrzeżenie

Notatka o okupie przedstawiona przez NotLockBit została zaprojektowana tak, aby naśladować prawdziwą notatkę o ransomware LockBit, mającą na celu oszukanie ofiar, aby uwierzyły, że mają do czynienia z tą znaną grupą ransomware. W notatce atakujący informują ofiary, że ich pliki zostały zaszyfrowane i skradzione, co daje atakującym dźwignię do grożenia utratą danych i ujawnieniem publicznym. Ta podwójna taktyka wymuszenia staje się coraz bardziej powszechna, ponieważ wywiera presję na ofiary nie tylko utratą danych, ale także potencjalnymi szkodami dla reputacji, jeśli poufne pliki zostaną ujawnione.

W nietypowym zwrocie akcji notatka przedstawia ofiarom kuszącą propozycję: jeśli pomogą w infiltracji sieci innych firm, mogą „zarobić miliony” dzięki tym nielegalnym działaniom. Ofiary otrzymują instrukcje, aby podać dane logowania do usług takich jak RDP, VPN lub firmowe konta e-mail, a nawet uruchomić plik złośliwego oprogramowania na komputerze firmy. Komunikacja z atakującymi jest ułatwiona za pośrednictwem Tox Messenger, bezpiecznej aplikacji do czatu, a notatka zawiera ToxID do bezpośredniego kontaktu.

Jak działa NotLockBit Ransomware

Proces operacyjny NotLockBit na zainfekowanej maszynie jest wysoce ukierunkowany. Gdy się uruchamia, ransomware pobiera unikalny identyfikator maszyny, a następnie skanuje pliki w całym systemie. W systemie macOS ransomware atakuje pliki w katalogu głównym, omijając jednocześnie niektóre katalogi, aby uniknąć wykrycia. Pliki takie jak dokumenty, obrazy i różne typy danych są szczególnie zagrożone, ponieważ są szyfrowane i wysyłane do kontenera Amazon S3 kontrolowanego przez atakujących. Ta kombinacja szyfrowania i eksfiltracji plików dodaje unikalną warstwę zagrożenia, ponieważ użytkownicy ryzykują utratą zarówno swoich plików, jak i prywatności danych.

W systemie macOS NotLockBit wykorzystuje polecenie „osascript”, aby zmienić tapetę pulpitu, a w systemie Windows wykorzystuje funkcję SystemParametersInfoW, aby dokonać tych zmian. W niektórych wariantach systemu Windows NotLockBit zawiera również kod przeznaczony do usuwania kopii zapasowych lub kopii zapasowych, co jeszcze bardziej utrudnia użytkownikom przywracanie plików bez płacenia okupu.

Krajobraz ransomware: NotLockBit i jego konkurenci

Ransomware stało się jednym z najbardziej rozpowszechnionych i szkodliwych finansowo rodzajów cyberzagrożeń. Poprzez blokowanie ofiarom dostępu do plików i żądanie okupu za dostęp, ransomware takie jak NotLockBit zmusza ofiary do podejmowania trudnych decyzji pod presją. Podczas gdy niektóre osoby i firmy mogą próbować negocjować lub nawet płacić za odzyskanie swoich plików, eksperci stanowczo odradzają takie podejście, ponieważ nie gwarantuje ono, że atakujący doprowadzą do odszyfrowania. Poprzednie przypadki pokazały, że nawet po dokonaniu płatności niektórzy atakujący mogą nadal wstrzymywać dane, co sprawia, że płatność jest ryzykowną strategią.

Rodzina ransomware LockBit, obok wariantów takich jak NK i Ztax , wpisuje się w globalny trend, w którym cyberprzestępcy wykorzystują ransomware dla zysku. Unikalne podejście NotLockBit — podszywające się pod inny wariant i atakujące zarówno systemy Windows, jak i Mac — podkreśla ciągłą innowację w krajobrazie ransomware, co sprawia, że czujność jest niezbędna.

Metody dystrybucji oprogramowania ransomware

Twórcy oprogramowania ransomware stosują szeroki zakres technik, aby zainfekować systemy ofiar. NotLockBit i podobne zagrożenia są często rozprzestrzeniane za pośrednictwem wiadomości e-mail phishingowych zawierających złośliwe załączniki lub linki. Ponadto cyberprzestępcy mogą osadzać oprogramowanie ransomware w pirackim oprogramowaniu, generatorach kluczy i narzędziach do łamania zabezpieczeń, co sprawia, że unikanie nieautoryzowanych pobrań oprogramowania jest kluczowe. Użytkownicy, którzy pobierają pirackie pliki lub wchodzą w interakcje z podejrzanymi reklamami online i wyskakującymi okienkami, również ryzykują paść ofiarą oprogramowania ransomware.

Inną powszechną metodą dystrybucji jest wykorzystywanie luk w zabezpieczeniach oprogramowania. Aktorzy zagrożeń wykorzystują niezałatane systemy, wchodząc przez słabe punkty oprogramowania. Inne taktyki obejmują używanie zainfekowanych dysków USB, sieci peer-to-peer i witryn pobierania stron trzecich. Często złośliwe pliki, takie jak dokumenty MS Office, pliki PDF, pliki wykonywalne i JavaScript, są wykorzystywane do oszukiwania użytkowników, aby nieświadomie zainfekowali swoje systemy.

Ochrona przed oprogramowaniem NotLockBit Ransomware

Wraz ze wzrostem wyrafinowania ransomware, takiego jak NotLockBit, praktykowanie bezpiecznego zachowania online i utrzymywanie regularnych środków bezpieczeństwa jest niezbędne. Kluczową strategią zapobiegawczą jest tworzenie regularnych kopii zapasowych przechowywanych na dyskach zewnętrznych lub w bezpiecznym magazynie w chmurze, co zapewnia możliwość odzyskania danych bez angażowania się w ataki. Ponadto aktualizowanie oprogramowania antywirusowego i antymalware, a także regularne aktualizowanie systemów operacyjnych, przeglądarek i oprogramowania może pomóc zamknąć potencjalne luki w zabezpieczeniach, które ransomware może wykorzystać.

Zachowanie czujności wobec podejrzanych wiadomości e-mail, załączników i linków jest również niezbędne do zmniejszenia ryzyka infekcji. Unikaj klikania reklam lub wyskakujących okienek z niewiarygodnych witryn i zachowaj ostrożność podczas pobierania plików z nieznanych źródeł. To proaktywne podejście może być silną linią obrony przed ransomware, takim jak NotLockBit.

Wyprzedzanie zagrożeń typu ransomware

NotLockBit reprezentuje rosnącą złożoność nowoczesnych ataków ransomware, które obecnie wykorzystują zwodnicze techniki, aby atakować szerszy zakres użytkowników na wielu platformach. Dzięki informowaniu się o tych ewoluujących taktykach i wdrażaniu silnych praktyk cyberbezpieczeństwa zarówno osoby prywatne, jak i organizacje mogą zmniejszyć ryzyko ataków ransomware. Dzięki odpowiednim środkom ostrożności użytkownicy mogą poruszać się po świecie online bezpieczniej i skuteczniej reagować, jeśli napotkają zagrożenia takie jak NotLockBit.