研究人员警告说,NotLockBit 是一个模仿 LockBit 勒索软件的新型恶意软件系列,可影响 Windows 和 macOS 系统。
该恶意软件似乎是首个针对 macOS 系统的全功能勒索软件,超越了以前的概念验证(PoC)样本。
什么是 NotLockBit 勒索软件?
安全研究人员称,NotLockBit 是一款 Go 编写的恶意软件。与许多其他勒索软件一样,它的目的是实现双重勒索:
- 加密文件,使受害者无法读取文件
- 删除阴影副本,防止数据恢复
NotLockBit 会用“.abcd ”扩展名标记加密文件。然后,它会在每个被破坏的文件夹中留下一张赎金条,并试图用 LockBit 2.0 的横幅来更改桌面墙纸。
该恶意软件使用 RSA 非对称加密,这意味着没有私钥就无法解密主密钥。
在开始加密过程之前,勒索软件会将数据外泄到攻击者控制的亚马逊 S3 存储桶中。为此,它使用了硬编码的 AWS 凭据。研究人员告诉 SecurityWeek.com:
我们怀疑勒索软件作者使用的是他们自己的 AWS 账户或被入侵的 AWS 账户。我们发现了三十多个可能来自同一作者的样本,这表明该勒索软件正在被积极开发和测试。
来源:SecurityWeek.com
目前,他们已经向 AWS 报告了这一恶意活动,AWS 暂停了访问密钥和相关账户。
不过,运行 macOS 系统的安全团队应保持警惕,因为该威胁仍在全面发挥作用。
如何确保 macOS 系统免受 NotLockBit 的攻击
作为分层防御策略的一部分,DNS 过滤是最有效的勒索软件预防工具之一。
要窃取并加密你的数据,黑客需要在你的电脑上部署勒索软件。然后,他们必须与指挥控制中心建立连接,安装其他恶意软件。最后,他们还必须使用另一个连接将数据外泄到 C2。所有这三个步骤都意味着黑客必须在计算机和恶意域之间建立连接。这就是 DNS 过滤发挥作用的地方。
最好的 DNS 安全软件运行的引擎可以检测并阻止恶意域,即使没有人将其标记为恶意域。如果员工打开钓鱼邮件并点击恶意链接,即使该域名没有被列入黑名单,DNS 过滤器也会将其识别为有害域名。因此,它会当场阻止连接。没有恶意通信,没有恶意软件部署,也就不会造成危害。
发表评论
您还未登录,请先登录。
登录