«NotLockBit» — новый вымогатель атакует системы Windows и macOS

В сфере кибербезопасности появилось новое сложное семейство программ-вымогателей под названием «NotLockBit», которое вызывает ажиотаж. Этот вредоносный софт, подражая стилю известного вымогателя LockBit, представляет серьезную угрозу благодаря своим передовым возможностям и кроссплатформенной функциональности, атакующей как Windows, так и macOS. NotLockBit адаптирует свои атаки под каждую операционную систему, используя специализированные стратегии.

Распространяемый в виде бинарного файла формата x86_64, написанного на языке программирования Go, NotLockBit обладает следующими передовыми функциями:

• Шифрование данных: Используя мощные протоколы шифрования, такие как AES и RSA, программа шифрует важные данные, которые можно восстановить только с помощью специального ключа, находящегося у злоумышленников.
• Кража данных: Пользовательские данные загружаются в хранилища, контролируемые злоумышленниками, такие как Amazon S3. Это позволяет использовать стратегию двойного вымогательства, угрожая потерей данных и их утечкой.
• Механизм самоуничтожения: Вымогатель удаляет свои следы (включая shadow copies и исполняемые файлы), чтобы исключить возможность восстановления системы.

После запуска NotLockBit инициирует разведывательную фазу, особенно оптимизированную для macOS. С использованием модуля go-sysinfo программа собирает следующую информацию:

• Характеристики оборудования;
• Версию операционной системы;
• Настройки сети;
• Уникальные идентификаторы устройства (UUID).

Процесс шифрования выполняется в несколько этапов:

1. Расшифровывается встроенный открытый ключ RSA из PEM-файла.
2. Генерируется случайный мастер-ключ шифрования, который шифруется с помощью RSA.
3. Пользовательские файлы шифруются и сохраняются под новыми именами с расширением .abcd. Оригинальные файлы удаляются.

При шифровании программа избегает критически важных системных каталогов (/proc/, /sys/, /dev/), что демонстрирует направленность атак исключительно на пользовательские данные.

NotLockBit нацелен на файлы следующих типов:

• Личные документы: .doc, .pdf, .txt;
• Рабочие файлы: .csv, .xls, .ppt;
• Мультимедиа: .jpg, .png, .mpg;
• Данные виртуальных машин: .vmdk, .vmsd, .vbox.

Этот выбор подтверждает фокусировку вымогателя на ценных данных.

На macOS NotLockBit использует команду osascript для программного изменения фонового изображения рабочего стола, где отображается сообщение с требованием выкупа.

На завершающем этапе программа самоуничтожается, выполняя следующие действия:

• Удаляет свой исполняемый файл из системы;
• Уничтожает shadow copies, что делает восстановление данных невозможным.

Высокая сложность NotLockBit требует мощных мер защиты для его обнаружения и нейтрализации. Компания Qualys подтвердила, что её решения EDR и EPP способны обнаруживать и изолировать вымогателя на этапе загрузки.

Для защиты от угроз, подобных NotLockBit, рекомендуется предпринять следующие меры:

• Регулярное резервное копирование: Храните важные данные в автономных резервных копиях, чтобы сохранить возможность восстановления.
• Защита конечных точек: Используйте передовые системы обнаружения, чтобы выявлять вредоносные действия на раннем этапе.
• Сетевая безопасность: Применяйте брандмауэры, IDS-системы и строгий контроль доступа.
• Обучение сотрудников: Проводите тренинги по выявлению фишинга и атак, основанных на социальной инженерии.

Кроссплатформенная функциональность NotLockBit, способность к краже данных и механизм самоуничтожения подчеркивают уровень развития современных атак вымогателей. Специалистам по кибербезопасности необходимо быть готовыми к таким угрозам. Комплексная защита, активный мониторинг и постоянное обучение играют ключевую роль в противодействии этим сложным угрозам.