Программа-вымогатель NotLockBit: обманчивая угроза, нацеленная на Windows и Mac
Table of Contents
Что такое программа-вымогатель NotLockBit?
NotLockBit — это сложный вариант программы-вымогателя, разработанный так, чтобы выглядеть как известная программа-вымогатель LockBit , тактика, направленная на то, чтобы сбить с толку жертв и избежать обнаружения. В отличие от многих угроз программ-вымогателей, которые сосредоточены на одной операционной системе, NotLockBit разработан для атак как на компьютеры Windows, так и на компьютеры Mac, что значительно расширяет его возможности. Попав внутрь системы, он шифрует и извлекает файлы, что дает злоумышленникам контроль над зашифрованными данными, а также позволяет им угрожать жертвам раскрытием конфиденциальной информации. Кроме того, NotLockBit вносит изменения в обои рабочего стола пользователя, оставляя цифровое напоминание о своем присутствии.
Помимо шифрования, NotLockBit переименовывает файлы, используя особый формат, включающий вектор инициализации и расширение ".abcd". Этот процесс переименования затрагивает широкий спектр типов файлов, таких как документы, изображения и другие данные, необходимые пользователям. Например, файл "document.pdf" может быть преобразован в "document.pdf.3544329bb141eea628f7c3bff6c79c11.abcd", давая жертвам понять, что злоумышленники заблокировали их файлы.
Записка о выкупе: замаскированное предупреждение
Записка с требованием выкупа, представленная NotLockBit, разработана так, чтобы имитировать настоящую программу-вымогатель LockBit, чтобы заставить жертв поверить, что они имеют дело с этой печально известной группой программ-вымогателей. В записке злоумышленники сообщают жертвам, что их файлы были зашифрованы и украдены, что дает злоумышленникам рычаг для угрозы как потери данных, так и публичного разоблачения. Эта двойная тактика вымогательства становится все более распространенной, поскольку она оказывает давление на жертв не только из-за потери данных, но и из-за потенциального ущерба репутации в случае утечки конфиденциальных файлов.
В необычном повороте событий записка предлагает жертвам заманчивое предложение: если они помогут проникнуть в сети других компаний, они смогут «заработать миллионы» с помощью этой незаконной деятельности. Жертвам предписывается предоставить учетные данные для входа в такие сервисы, как RDP, VPN или корпоративные учетные записи электронной почты, или даже запустить вредоносный файл на компьютере компании. Общение с злоумышленниками осуществляется через Tox messenger, защищенное приложение для чата, а в записке указан ToxID для прямого контакта.
Как функционирует программа-вымогатель NotLockBit
Рабочий процесс NotLockBit на зараженной машине имеет высокую степень целеустремленности. При первом запуске программа-вымогатель получает уникальный идентификатор машины, а затем сканирует файлы по всей системе. В macOS программа-вымогатель нацелена на файлы в корневом каталоге, обходя определенные каталоги, чтобы избежать обнаружения. Такие файлы, как документы, изображения и различные типы данных, особенно подвержены риску, поскольку они зашифрованы и отправлены в корзину Amazon S3, контролируемую злоумышленниками. Такое сочетание шифрования и эксфильтрации файлов добавляет уникальный уровень опасности, поскольку пользователи рискуют потерять как свои файлы, так и конфиденциальность своих данных.
В macOS NotLockBit использует команду "osascript" для смены обоев рабочего стола, а в Windows он использует функцию SystemParametersInfoW для внесения этих изменений. В некоторых вариантах Windows NotLockBit также включает код, предназначенный для удаления теневых копий или резервных копий, что еще больше усложняет для пользователей восстановление файлов без уплаты выкупа.
Ландшафт программ-вымогателей: NotLockBit и его аналоги
Программы-вымогатели стали одним из самых распространенных и финансово разрушительных типов киберугроз. Блокируя жертв от их файлов и требуя выкуп за доступ, программы-вымогатели, такие как NotLockBit, заставляют жертв принимать сложные решения под давлением. Хотя некоторые люди и компании могут попытаться договориться или даже заплатить за восстановление своих файлов, эксперты настоятельно не рекомендуют такой подход, поскольку он не гарантирует, что злоумышленники выполнят расшифровку. Прошлые случаи показали, что даже после оплаты некоторые злоумышленники могут продолжать скрывать данные, что делает оплату рискованной стратегией.
Семейство программ-вымогателей LockBit, наряду с такими вариантами, как NK и Ztax , является частью глобальной тенденции, когда киберпреступники используют программы-вымогатели для получения прибыли. Уникальный подход NotLockBit — маскировка под другой вариант и нацеленность как на Windows, так и на Mac — подчеркивает постоянные инновации в ландшафте программ-вымогателей, что делает бдительность необходимой.
Методы распространения программ-вымогателей
Разработчики программ-вымогателей используют широкий спектр методов для заражения систем жертв. NotLockBit и подобные угрозы часто распространяются через фишинговые письма, содержащие вредоносные вложения или ссылки. Кроме того, киберпреступники могут встраивать программы-вымогатели в пиратское программное обеспечение, генераторы ключей и инструменты взлома, что делает крайне важным избегать несанкционированных загрузок программного обеспечения. Пользователи, которые загружают пиратские файлы или взаимодействуют с сомнительными онлайн-рекламами и всплывающими окнами, также рискуют стать жертвами программ-вымогателей.
Другим распространенным методом распространения является эксплуатация уязвимостей программного обеспечения. Злоумышленники используют неисправленные системы, проникая через слабые места в программном обеспечении. Другие тактики включают использование зараженных USB-накопителей, одноранговых сетей и сторонних сайтов загрузки. Часто вредоносные файлы, такие как документы MS Office, PDF-файлы, исполняемые файлы и JavaScript, используются для обмана пользователей с целью неосознанного заражения их систем.
Защита от вымогателя NotLockBit
С ростом сложности программ-вымогателей, таких как NotLockBit, соблюдение безопасного поведения в сети и поддержание регулярных мер безопасности становится необходимым. Ключевой превентивной стратегией является регулярное создание резервных копий, хранящихся на внешних дисках или в защищенном облачном хранилище, что гарантирует возможность восстановления данных без взаимодействия со злоумышленниками. Кроме того, поддержание антивирусного и антивредоносного программного обеспечения в актуальном состоянии, а также регулярное обновление операционных систем, браузеров и программного обеспечения может помочь закрыть потенциальные бреши в безопасности, которые могут использовать программы-вымогатели.
Сохранение бдительности в отношении подозрительных писем, вложений и ссылок также имеет важное значение для снижения риска заражения. Избегайте нажатия на рекламу или всплывающие окна с ненадежных веб-сайтов и будьте осторожны при загрузке файлов из неизвестных источников. Этот проактивный подход может стать надежной линией защиты от программ-вымогателей, таких как NotLockBit.
Как оставаться на шаг впереди угроз программ-вымогателей
NotLockBit представляет собой растущую сложность современных атак программ-вымогателей, которые теперь используют обманные методы для охвата более широкого круга пользователей на различных платформах. Оставаясь в курсе этих развивающихся тактик и внедряя надежные методы кибербезопасности, как отдельные лица, так и организации могут снизить риск атак программ-вымогателей. Приняв правильные меры предосторожности, пользователи могут более безопасно перемещаться в онлайн-мире и эффективно реагировать, если они сталкиваются с такими угрозами, как NotLockBit.
