«NotLockBit» nomli yangi ransomware Windows va macOS tizimlariga hujum qilmoqda

Kiberxavfsizlik sohasida yangi, yuqori darajada murakkab «NotLockBit» nomli ransomware oilasi katta shov-shuvlarga sabab bo’lmoqda. Ushbu zararli dastur, avvalgi LockBit ransomware uslublarini takrorlab, o’zining ilg’or imkoniyatlari va turli platformalarda (Windows va macOS) ishlash qobiliyati bilan jiddiy xavf tug’dirmoqda. NotLockBit o’z hujumlarini moslashtirilgan strategiyalar orqali amalga oshiradi.

Go dasturlash tilida yozilgan x86_64 formatdagi binary sifatida tarqatilayotgan NotLockBit quyidagi ilg’or xususiyatlarga ega:

  1. Ma’lumotlarni shifrlash: AES va RSA kabi kuchli shifrlash protokollaridan foydalanib, muhim ma’lumotlarni shifrlaydi. Shifrlangan ma’lumotlar faqat hujumchining maxsus kaliti yordamida tiklanishi mumkin.
  2. Ma’lumotlarni o’g’irlash: Foydalanuvchi ma’lumotlari hujumchilar boshqaruvidagi omborlarga (masalan, Amazon S3) yuklanadi. Bu ikki tomonlama bosim usulidan foydalanib, foydalanuvchini ma’lumotlarning yo’qotilishi va oshkor bo’lishi bilan tahdid qiladi.
  3. O’z-o’zini o’chirish mexanizmi: Ransomware o’zining izlarini (shadow copies va ijro fayllarini) o’chirish orqali tizimni tiklash imkoniyatlarini yo’q qiladi.

NotLockBit dasturi ishga tushirilishi bilan tizimda maxsus razvedka jarayonini boshlaydi. Bu jarayon ayniqsa macOS muhitlari uchun optimallashtirilgan bo’lib, go-sysinfo moduli orqali quyidagi ma’lumotlarni yig’adi:

  • Qurilmaning apparat xususiyatlari;
  • Operatsion tizimning versiyasi;
  • Tarmoq sozlamalari;
  • Qurilmaning noyob identifikatorlari (UUID).

Shifrlash jarayoni bir necha bosqichlarda amalga oshiriladi:

  1. PEM faylidan RSA umumiy kaliti dekodlanadi.
  2. Tasodifiy master shifrlash kaliti yaratiladi va RSA kaliti yordamida shifrlanadi.
  3. Foydalanuvchi fayllari shifrlanib, o’zgartirilgan nomlar bilan qayta saqlanadi (.abcd kengaytmasi bilan). Original fayllar esa o’chiriladi.

Shifrlash jarayonida, tizimning muhim kataloglari (/proc/, /sys/, /dev/) buzilmaydi. Bu, ransomware’ning faqat foydalanuvchi ma’lumotlariga e’tibor qaratishini ko’rsatadi.

NotLockBit quyidagi muhim fayl turlarini nishonga oladi:

  • Shaxsiy hujjatlar: .doc, .pdf, .txt;
  • Ishchi fayllar: .csv, .xls, .ppt;
  • Multimedia: .jpg, .png, .mpg;
  • Virtual mashina ma’lumotlari: .vmdk, .vmsd, .vbox.

Bu tanlov ransomware’ning yuqori qiymatga ega ma’lumotlarni nishonga olishini ko’rsatadi.

NotLockBit macOS tizimlarida osascript komandasi orqali ish stolining fonini o’zgartirib, foydalanuvchilarga talon-taroj xabarini vizual ko’rinishda ko’rsatadi.

Ransomware oxirgi bosqichda o’zini quyidagicha yo’q qiladi:

  • O’z ijro faylini tizimdan o’chiradi;
  • Shadow copies’ni yo’q qilib, tiklash imkoniyatlarini yo’q qiladi.

NotLockBitning yuqori darajada murakkab ekanligi sababli, uni aniqlash va zararsizlantirish uchun kuchli himoya choralari zarur. Qualys kompaniyasining EDR va EPP echimlari ransomware’ni yuklab olish paytidayoq aniqlash va karantinga olish imkoniga ega ekanligini tasdiqlagan.

NotLockBit va shunga o’xshash tahdidlarga qarshi quyidagi choralarni ko’rish tavsiya etiladi:

  1. Doimiy zaxira nusxalar: Muhim ma’lumotlarni offline zaxira qilish orqali tiklash imkoniyatini saqlab qoling.
  2. Endpoint himoyasi: Ilg’or aniqlash tizimlarini joriy etib, zararli faoliyatni erta aniqlang.
  3. Tarmoq xavfsizligi: Firewalls, IDS tizimlari va qat’iy kirish nazoratlarini qo’llang.
  4. Xodimlarni o’qitish: Phishing va ijtimoiy muhandislikka asoslangan hujumlarni tanib olish bo’yicha treninglar tashkil qiling.

NotLockBitning ikki platformada ishlash qobiliyati, ma’lumotlarni o’g’irlash va o’z-o’zini yo’q qilish imkoniyatlari zamonaviy ransomware hujumlarining qanchalik rivojlanganligini ko’rsatadi. Kiberxavfsizlik mutaxassislari ushbu va boshqa yangi tahdidlarga qarshi tayyor bo’lishlari kerak. To’liq himoya, faol monitoring va doimiy ta’lim ushbu murakkab tahdidlarning oldini olishda muhim rol o’ynaydi.

Skip to content