Cybersicherheitsexperten haben eine neue, hochentwickelte Malware-Familie namens NotLockBit identifiziert, die speziell für Angriffe auf macOS-Systeme konzipiert wurde. Diese Entdeckung markiert einen bedeutenden Wendepunkt in der Entwicklung von Cyberbedrohungen gegen Apple-Nutzer und unterstreicht die wachsende Komplexität der Malware-Landschaft.
Technische Merkmale und Funktionsweise von NotLockBit
NotLockBit, in der Programmiersprache Go geschrieben, zeichnet sich durch seine plattformübergreifende Funktionalität aus, die sowohl Windows- als auch macOS-Systeme ins Visier nimmt. Die Hauptfunktion dieser Malware besteht in der Verschlüsselung von Benutzerdateien, was charakteristisch für Ransomware ist. Analysen von SentinelOne zeigen, dass NotLockBit als x86_64-Binärdatei verbreitet wird, was auf eine Ausrichtung auf Intel- und Apple-Prozessoren mit Rosetta-Emulation hindeutet.
Doppelte Erpressungstaktik
Die Ransomware implementiert eine ausgeklügelte „Double Extortion“-Strategie, die aus zwei Hauptphasen besteht:
- Exfiltration sensibler Daten des Opfers
- Verschlüsselung der Dateien und Löschung von Schattenkopien
Dieser Ansatz erhöht den Druck auf die Opfer erheblich, da nicht nur die Entschlüsselung der Daten, sondern auch die Nichtveröffentlichung der gestohlenen Informationen Teil der Erpressung wird.
Fortschrittliche technische Aspekte von NotLockBit
NotLockBit demonstriert ein hohes Maß an technischer Raffinesse in seinem Angriffsablauf:
- Umfassende Informationssammlung über das Zielsystem
- Verwendung eines öffentlichen Schlüssels zur Verschlüsselung eines zufällig generierten Hauptschlüssels
- Einsatz asymmetrischer RSA-Verschlüsselung zum Schutz des Hauptschlüssels
- Hinzufügen der Dateierweiterung .abcd zu verschlüsselten Dateien
- Platzierung von Lösegeldforderungen in jedem Ordner mit verschlüsselten Dateien
- Versuch, den Desktop-Hintergrund durch ein LockBit 2.0-Banner zu ersetzen
Besonders hervorzuheben ist die Verwendung der asymmetrischen RSA-Verschlüsselung, die eine Entschlüsselung des Hauptschlüssels ohne den privaten Schlüssel der Angreifer praktisch unmöglich macht.
Verbindung zur AWS-Infrastruktur
Forscher von Trend Micro entdeckten, dass NotLockBit vor Beginn des Verschlüsselungsprozesses Opferdaten an einen von den Angreifern kontrollierten Amazon S3-Bucket überträgt. Diese Erkenntnis führte zu schnellen Gegenmaßnahmen seitens AWS, die die kompromittierten Zugriffsschlüssel und das zugehörige Konto sperrten.
Bedeutung für das macOS-Ökosystem
NotLockBit stellt einen bedeutenden Meilenstein in der Evolution von macOS-Malware dar. Es ist laut SentinelOne die erste vollständig funktionsfähige Ransomware-Familie, die auf dieses Betriebssystem abzielt. Dies signalisiert ein wachsendes Interesse von Cyberkriminellen an der macOS-Plattform und unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen für Apple-Nutzer.
Die Entdeckung von NotLockBit verdeutlicht die kontinuierliche Evolution der Cyberbedrohungslandschaft. Benutzer von macOS-Systemen sollten ihre Sicherheitsmaßnahmen verstärken, Software regelmäßig aktualisieren und bei der Handhabung verdächtiger Dateien oder Links besondere Vorsicht walten lassen. Organisationen sollten einen umfassenden Schutz ihrer Systeme implementieren, einschließlich regelmäßiger Datensicherungen und Schulungen zur Cybersicherheit für Mitarbeiter. Die Wachsamkeit und proaktive Sicherheitsmaßnahmen bleiben entscheidend, um sich vor solch fortschrittlichen Bedrohungen zu schützen.
