NotLockBit 勒索软件的目标是 Windows 和 MacOS

阅读量34028

发布时间 : 2024-10-25 10:22:45

x
译文声明

本文是翻译文章,文章来源:heimdalsecurity

原文地址:https://heimdalsecurity.com/blog/notlockbit-ransomware-targets-both-windows-and-macos/

译文仅供参考,具体内容表达以及含义原文为准。

article featured image

研究人员警告说,NotLockBit 是一个模仿 LockBit 勒索软件的新型恶意软件系列,可影响 Windows 和 macOS 系统。

该恶意软件似乎是首个针对 macOS 系统的全功能勒索软件,超越了以前的概念验证(PoC)样本。

什么是 NotLockBit 勒索软件?

安全研究人员称,NotLockBit 是一款 Go 编写的恶意软件。与许多其他勒索软件一样,它的目的是实现双重勒索:

  • 加密文件,使受害者无法读取文件
  • 删除阴影副本,防止数据恢复

NotLockBit 会用“.abcd ”扩展名标记加密文件。然后,它会在每个被破坏的文件夹中留下一张赎金条,并试图用 LockBit 2.0 的横幅来更改桌面墙纸。

该恶意软件使用 RSA 非对称加密,这意味着没有私钥就无法解密主密钥。

在开始加密过程之前,勒索软件会将数据外泄到攻击者控制的亚马逊 S3 存储桶中。为此,它使用了硬编码的 AWS 凭据。研究人员告诉 SecurityWeek.com:

我们怀疑勒索软件作者使用的是他们自己的 AWS 账户或被入侵的 AWS 账户。我们发现了三十多个可能来自同一作者的样本,这表明该勒索软件正在被积极开发和测试。

来源:SecurityWeek.com

目前,他们已经向 AWS 报告了这一恶意活动,AWS 暂停了访问密钥和相关账户。

不过,运行 macOS 系统的安全团队应保持警惕,因为该威胁仍在全面发挥作用。

如何确保 macOS 系统免受 NotLockBit 的攻击

作为分层防御策略的一部分,DNS 过滤是最有效的勒索软件预防工具之一。

要窃取并加密你的数据,黑客需要在你的电脑上部署勒索软件。然后,他们必须与指挥控制中心建立连接,安装其他恶意软件。最后,他们还必须使用另一个连接将数据外泄到 C2。所有这三个步骤都意味着黑客必须在计算机和恶意域之间建立连接。这就是 DNS 过滤发挥作用的地方。

最好的 DNS 安全软件运行的引擎可以检测并阻止恶意域,即使没有人将其标记为恶意域。如果员工打开钓鱼邮件并点击恶意链接,即使该域名没有被列入黑名单,DNS 过滤器也会将其识别为有害域名。因此,它会当场阻止连接。没有恶意通信,没有恶意软件部署,也就不会造成危害。

本文翻译自heimdalsecurity 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66