У світі кібербезпеки з’явилася нова загроза, яка потребує пильної уваги користувачів та фахівців. Експерти виявили нове сімейство шкідливого програмного забезпечення під назвою NotLockBit, спеціально розроблене для атак на системи macOS. Це відкриття знаменує важливий етап в еволюції кіберзагроз, спрямованих проти користувачів Apple, і вимагає ретельного аналізу.
Технічні особливості та функціональність NotLockBit
NotLockBit представляє собою складне шкідливе ПЗ, написане мовою програмування Go. Воно здатне атакувати як системи Windows, так і macOS, що свідчить про його універсальність та потенційну небезпеку. Ключовою особливістю NotLockBit є його здатність шифрувати файли користувачів, що типово для програм-вимагачів. Аналіз, проведений фахівцями SentinelOne, показав, що NotLockBit поширюється у вигляді бінарних файлів x86_64, орієнтованих на пристрої macOS з процесорами Intel та Apple, що використовують емулятор Rosetta.
Тактика подвійного вимагання
NotLockBit використовує тактику “подвійного вимагання”, яка стає все більш поширеною серед кіберзлочинців. Ця стратегія включає два етапи: спочатку відбувається крадіжка даних жертви, а потім – шифрування файлів та видалення тіньових копій. Такий підхід дозволяє зловмисникам вимагати викуп не тільки за розшифрування даних, але й за нерозголошення викраденої інформації, що значно підвищує тиск на жертву.
Технічні аспекти роботи NotLockBit
У процесі атаки NotLockBit демонструє високий рівень технічної складності. Вірус збирає інформацію про систему жертви, використовує публічний ключ для шифрування випадково згенерованого майстер-ключа, застосовує асиметричне шифрування RSA для захисту майстер-ключа, додає розширення .abcd до зашифрованих файлів та розміщує записку з вимогою викупу в кожній папці з зашифрованими файлами. Особливо варто відзначити використання асиметричного шифрування RSA, яке гарантує, що майстер-ключ не може бути розшифрований без приватного ключа зловмисників.
Зв’язок з інфраструктурою AWS
Дослідники Trend Micro виявили цікаву деталь у роботі NotLockBit. Перед початком процесу шифрування вимагач передає дані жертв у контрольований зловмисниками бакет Amazon S3, використовуючи жорстко задані облікові дані AWS. Це відкриття призвело до оперативних дій з боку AWS, які заблокували виявлені ключі доступу та пов’язаний з ними обліковий запис.
Значення NotLockBit для екосистеми macOS
NotLockBit представляє собою значну віху в еволюції шкідливого ПЗ для macOS. За даними SentinelOne, це перше дійсно працездатне сімейство вимагацького ПЗ, націлене на цю операційну систему. Поява NotLockBit свідчить про зростаючий інтерес кіберзлочинців до платформи macOS, яка довгий час вважалася менш вразливою для подібних атак.
Експерти з кібербезпеки підкреслюють, що NotLockBit знаходиться на стадії активної розробки. Незважаючи на відсутність інформації про можливі жертви та способи поширення цієї загрози, масштаби розробки вказують на високу ймовірність появи такої інформації в найближчому майбутньому. Це підкреслює важливість постійного моніторингу та аналізу нових загроз у сфері кібербезпеки.
Поява NotLockBit є серйозним нагадуванням про постійно еволюціонуючий ландшафт кіберзагроз. Користувачам macOS рекомендується посилити заходи безпеки, регулярно оновлювати програмне забезпечення та бути пильними при роботі з підозрілими файлами або посиланнями. Організаціям слід забезпечити комплексний захист своїх систем, включаючи регулярне резервне копіювання даних та навчання співробітників основам кібербезпеки. Тільки спільними зусиллями користувачів, організацій та експертів з безпеки можна протистояти новим викликам у світі кіберзагроз.
