NotLockBit Ransomware: A ameaça enganosa que tem como alvo Windows e Mac
Table of Contents
O que é NotLockBit Ransomware?
NotLockBit é uma variante sofisticada de ransomware projetada para se parecer com o conhecido ransomware LockBit , uma tática que visa confundir as vítimas e evitar a detecção. Ao contrário de muitas ameaças de ransomware que se concentram em um sistema operacional, o NotLockBit foi projetado para atingir computadores Windows e Mac, ampliando significativamente seu alcance. Uma vez dentro de um sistema, ele criptografa e exfiltra arquivos, o que dá aos invasores controle sobre os dados criptografados, ao mesmo tempo em que permite que ameacem as vítimas com a exposição de informações confidenciais. Além disso, o NotLockBit faz alterações no papel de parede da área de trabalho do usuário, deixando um lembrete digital de sua presença.
Além da criptografia, o NotLockBit renomeia arquivos usando um formato distinto que inclui um vetor de inicialização e uma extensão ".abcd". Esse processo de renomeação afeta uma ampla gama de tipos de arquivo, como documentos, imagens e outros dados essenciais para os usuários. Por exemplo, o arquivo "document.pdf" pode ser transformado em "document.pdf.3544329bb141eea628f7c3bff6c79c11.abcd", deixando claro para as vítimas que os invasores bloquearam seus arquivos.
A nota de resgate: um aviso disfarçado
A nota de resgate apresentada pela NotLockBit foi projetada para imitar a do ransomware LockBit real, visando enganar as vítimas a acreditar que estão lidando com esse notório grupo de ransomware. Na nota, os invasores informam às vítimas que seus arquivos foram criptografados e roubados, dando aos invasores a vantagem de ameaçar tanto a perda de dados quanto a exposição pública. Essa tática de extorsão dupla está se tornando cada vez mais comum, pois pressiona as vítimas não apenas com a perda de dados, mas também com potenciais danos à reputação se arquivos confidenciais forem vazados.
Em uma reviravolta incomum, a nota apresenta às vítimas uma proposta atraente: se elas ajudarem a infiltrar redes de outras empresas, elas podem "ganhar milhões" por meio dessas atividades ilegais. As vítimas são instruídas a fornecer credenciais de login para serviços como RDP, VPN ou contas de e-mail corporativas ou até mesmo executar um arquivo de malware em um computador da empresa. A comunicação com os invasores é facilitada pelo Tox Messenger, um aplicativo de bate-papo seguro, e a nota inclui um ToxID para contato direto.
Como funciona o NotLockBit Ransomware
O processo operacional do NotLockBit em uma máquina infectada é altamente direcionado. Quando ele inicia pela primeira vez, o ransomware recupera o ID exclusivo da máquina e então escaneia arquivos no sistema. No macOS, o ransomware tem como alvo arquivos no diretório raiz enquanto ignora certos diretórios para evitar a detecção. Arquivos como documentos, imagens e vários tipos de dados estão particularmente em risco, pois são criptografados e enviados para um bucket do Amazon S3 controlado pelos invasores. Essa combinação de criptografia e exfiltração de arquivos adiciona uma camada única de perigo, pois os usuários correm o risco de perder seus arquivos e sua privacidade de dados.
No macOS, o NotLockBit utiliza o comando "osascript" para alterar o papel de parede da área de trabalho e, no Windows, ele emprega a função SystemParametersInfoW para fazer essas alterações. Em algumas variantes do Windows, o NotLockBit também inclui código projetado para excluir cópias de sombra ou backups, tornando ainda mais difícil para os usuários restaurar seus arquivos sem pagar o resgate.
O cenário do ransomware: NotLockBit e seus pares
O ransomware se tornou um dos tipos de ameaças cibernéticas mais prevalentes e financeiramente prejudiciais. Ao bloquear as vítimas de seus arquivos e exigir um resgate para acesso, o ransomware como o NotLockBit força as vítimas a tomar decisões difíceis sob pressão. Embora alguns indivíduos e empresas possam tentar negociar ou até mesmo pagar para recuperar seus arquivos, especialistas desencorajam fortemente essa abordagem, pois ela não garante que os invasores seguirão com a descriptografia. Casos anteriores mostraram que, mesmo após o pagamento, alguns invasores podem continuar a reter dados, tornando o pagamento uma estratégia arriscada.
A família de ransomware LockBit, juntamente com variantes como NK e Ztax , faz parte de uma tendência global em que os cibercriminosos alavancam o ransomware para obter lucro. A abordagem única do NotLockBit — disfarçando-se como outra variante e mirando tanto no Windows quanto no Mac — destaca a inovação contínua dentro do cenário de ransomware, tornando a vigilância essencial.
Métodos de distribuição de ransomware
Os desenvolvedores de ransomware empregam uma ampla gama de técnicas para infectar os sistemas das vítimas. NotLockBit e ameaças semelhantes são frequentemente disseminadas por e-mails de phishing contendo anexos ou links maliciosos. Além disso, os criminosos cibernéticos podem incorporar ransomware em software pirateado, geradores de chaves e ferramentas de cracking, tornando crucial evitar downloads de software não autorizados. Usuários que baixam arquivos pirateados ou interagem com anúncios e pop-ups on-line questionáveis também correm o risco de serem vítimas de ransomware.
Outro método comum de distribuição é a exploração de vulnerabilidades de software. Os agentes de ameaças tiram vantagem de sistemas sem patches, entrando por pontos fracos no software. Outras táticas incluem o uso de unidades USB infectadas, redes peer-to-peer e sites de download de terceiros. Frequentemente, arquivos maliciosos como documentos do MS Office, PDFs, arquivos executáveis e JavaScript são usados para enganar os usuários e infectá-los inadvertidamente em seus sistemas.
Protegendo-se contra o NotLockBit Ransomware
Com a crescente sofisticação de ransomware como o NotLockBit, praticar comportamento seguro online e manter medidas de segurança regulares é essencial. Uma estratégia preventiva essencial é criar backups regulares armazenados em unidades externas ou armazenamento seguro em nuvem, garantindo que os dados possam ser recuperados sem envolver invasores. Além disso, manter o software antivírus e antimalware atualizado, bem como atualizar regularmente os sistemas operacionais, navegadores e software, pode ajudar a fechar potenciais lacunas de segurança que o ransomware pode explorar.
Permanecer vigilante contra e-mails, anexos e links suspeitos também é essencial para reduzir o risco de infecção. Evite clicar em anúncios ou pop-ups de sites não confiáveis e seja cauteloso ao baixar arquivos de fontes desconhecidas. Essa abordagem proativa pode ser uma forte linha de defesa contra ransomware como o NotLockBit.
Ficar à frente das ameaças de ransomware
O NotLockBit representa a crescente complexidade dos ataques modernos de ransomware, que agora usam técnicas enganosas para atingir uma gama maior de usuários em várias plataformas. Ao se manterem informados sobre essas táticas em evolução e implementarem práticas fortes de segurança cibernética, tanto indivíduos quanto organizações podem reduzir o risco de ataques de ransomware. Com as precauções certas em vigor, os usuários podem navegar no mundo online com mais segurança e responder efetivamente se encontrarem ameaças como o NotLockBit.
