Обнаружен шифровальщик NotLockBit, способный атаковать macOS - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Обнаружен шифровальщик NotLockBit, способный атаковать macOS - «Новости»

ИБ-специалисты обнаружили новое семейство малвари для macOS, способное шифровать файлы. Названием NotLockBit вредонос обязан тому факту, что он пытается выдавать себя за вымогательское ПО LockBit.


Малварь написана на Go и нацелена на системы под управлением Windows и macOS. Как и другие подобные угрозы NotLockBit использует тактику двойного вымогательства, то есть сначала похищает данные жертвы, а также шифрует файлы и удаляет теневые копии. Таким образом злоумышленники могут потребовать выкуп и за расшифровку данных, и за то, чтобы не «сливать» украденную информацию в открытый доступ (или не продавать ее другим преступникам).


Как уже было упомянуто выше, отличительной особенностью NotLockBit является то, что малварь пытается выдать себя за известное вымогательское ПО LockBit, к которому на самом деле не имеет никакого отношения.


По данным аналитиков SentinelOne, вредонос распространяется в виде бинарных файлов x86_64, что позволяет предположить, что он работает только на macOS-устройствах на базе процессоров Intel и Apple, на которых установлен эмулятор Rosetta.


В процессе атаки NotLockBit собирает информацию о системе и использует публичный ключ для шифрования случайно сгенерированного мастер-ключа, который применяется во время шифрования файлов. Использование асимметричного шифрования RSA позволяет гарантировать, что мастер-ключ не будет расшифрован без приватного ключа злоумышленников.



Схема атаки

NotLockBit добавляет расширение .abcd к зашифрованным файлам, помещает записку с требованием выкупа в каждую папку с зашифрованными, а затем пытается заменить обои на рабочем столе на баннер LockBit 2.0.



Обои заменены на баннер LockBit

В опубликованном на прошлой неделе отчете исследователи Trend Micro, тоже изучившие NotLockBit, отмечали, что перед началом процесса шифрования вымогатель передает данные своих жертв в контролируемый злоумышленниками бакет Amazon S3, используя для этого жестко заданные учетные данные от AWS.


«Мы считаем, что автор вымогательского ПО либо использует свой собственный аккаунт AWS, либо скомпрометированный аккаунт. Мы обнаружили более тридцати образцов, вероятно, созданные одним и тем же автором, что свидетельствует об активной разработке и тестировании этой программы-вымогателя», — предупреждали тогда в Trend Micro.


Специалисты сообщили, что уведомили об этой вредоносной активности представителей AWS, которые уже заблокировали обнаруженные ключи доступа к AWS и связанную с ними учетную запись.


По данным SentinelOne, NotLockBit — это первое действительно работоспособное семейство вымогательской малвари, нацеленное на macOS. Ранее ИБ-специалистами попадались лишь опытные образцы и различные proof-of-concept.


«NotLockBit, судя по всему, находится в стадии активной разработки. На данный момент учетные записи AWS, принадлежащие злоумышленникам, заблокированы, и нет никакой информации о возможных жертвах и способах распространения этой угрозы. Но, учитывая масштабы разработки, мы будем удивлены, если в ближайшей и среднесрочной перспективе такая информация не появится», — резюмируют в SentinelOne.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-специалисты обнаружили новое семейство малвари для macOS, способное шифровать файлы. Названием NotLockBit вредонос обязан тому факту, что он пытается выдавать себя за вымогательское ПО LockBit. Малварь написана на Go и нацелена на системы под управлением Windows и macOS. Как и другие подобные угрозы NotLockBit использует тактику двойного вымогательства, то есть сначала похищает данные жертвы, а также шифрует файлы и удаляет теневые копии. Таким образом злоумышленники могут потребовать выкуп и за расшифровку данных, и за то, чтобы не «сливать» украденную информацию в открытый доступ (или не продавать ее другим преступникам). Как уже было упомянуто выше, отличительной особенностью NotLockBit является то, что малварь пытается выдать себя за известное вымогательское ПО LockBit, к которому на самом деле не имеет никакого отношения. По данным аналитиков SentinelOne, вредонос распространяется в виде бинарных файлов x86_64, что позволяет предположить, что он работает только на macOS-устройствах на базе процессоров Intel и Apple, на которых установлен эмулятор Rosetta. В процессе атаки NotLockBit собирает информацию о системе и использует публичный ключ для шифрования случайно сгенерированного мастер-ключа, который применяется во время шифрования файлов. Использование асимметричного шифрования RSA позволяет гарантировать, что мастер-ключ не будет расшифрован без приватного ключа злоумышленников. Схема атаки NotLockBit добавляет расширение .abcd к зашифрованным файлам, помещает записку с требованием выкупа в каждую папку с зашифрованными, а затем пытается заменить обои на рабочем столе на баннер LockBit 2.0. Обои заменены на баннер LockBit В опубликованном на прошлой неделе отчете исследователи Trend Micro, тоже изучившие NotLockBit, отмечали, что перед началом процесса шифрования вымогатель передает данные своих жертв в контролируемый злоумышленниками бакет Amazon S3, используя для этого жестко заданные учетные данные от AWS. «Мы считаем, что автор вымогательского ПО либо использует свой собственный аккаунт AWS, либо скомпрометированный аккаунт. Мы обнаружили более тридцати образцов, вероятно, созданные одним и тем же автором, что свидетельствует об активной разработке и тестировании этой программы-вымогателя», — предупреждали тогда в Trend Micro. Специалисты сообщили, что уведомили об этой вредоносной активности представителей AWS, которые уже заблокировали обнаруженные ключи доступа к AWS и связанную с ними учетную запись. По данным SentinelOne, NotLockBit — это первое действительно работоспособное семейство вымогательской малвари, нацеленное на macOS. Ранее ИБ-специалистами попадались лишь опытные образцы и различные proof-of-concept. «NotLockBit, судя по всему, находится в стадии активной разработки. На данный момент учетные записи AWS, принадлежащие злоумышленникам, заблокированы, и нет никакой информации о возможных жертвах и способах распространения этой угрозы. Но, учитывая масштабы разработки, мы будем удивлены, если в ближайшей и среднесрочной перспективе такая информация не появится», — резюмируют в SentinelOne.
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: