Tovább a
Helpdesk felületre
HU / EN
s
s
17 ÉVE
az informatikában

NotLockBit vírus: nem az aminek látszik, de veszélyes

A NotLockBit zsarolóvírus a macOS alapú számítógépeken tárolt fájlokat, adatokat sem kíméli.

A NotLockBit zsaroló program a nevét onnan kapta, hogy a fertőzése során azt a látszatot igyekszik kelteni, hogy a számítógépet a hírhedt LockBit zsarolóvírus fertőzte meg. Az idén februárban és szeptemberben is komoly hatósági razziával sújtott LockBit azonban most nem játszik szerepet a kibertámadásokban. Ez azonban az incidensek súlyosságát mit sem csökkenti, ugyanis a NoLockBit is nagyon komoly károkozásokat képes véghez vinni.
 
A NoLockBit - sok más ransomware-hez hasonlóan - dupla zsarolást tesz lehetővé a kiberbűnözők számára, vagyis fájlok titkosítása mellett adatokat is szivárogtat. A Go nyelven íródott kártékony program Windows és macOS operációs rendszer alatt egyaránt képes elvégezni a feladatait.
 
A SentinelOne elemzése szerint a NoLockBit minden rendszeren egy véletlenszerű mesterkulcsot generál, amit egy publikus kulccsal lekódol. A dekódolását pedig csak a csalóknál lévő privát kulccsal lehet elvégezni. Amint a titkosító kulcs legenerálása megtörténik, a vírus RSA-alapú fájltitkosítást végez. A vizsgált variáns a kompromittált állományok fájlnevét .abcd kiterjesztéssel egészíti ki, majd minden olyan mappába, amelybe fájlt titkosított, bemásol egy szöveges állományt a zsarolók üzenetével. Mindezek mellett az Asztal háttérképét lecseréli egy LockBit 2.0 bannerre.
 
A NoLockBitet a Trend Micro kutatói is alaposan szemügyre vették, és megállapították, hogy a károkozó az adatszivárogtatást jelenleg Amazon S3 erőforrások és fiókok bevonásával végzi. Az Amazonon lévő tárhelyekhez történő hozzáféréshez szükséges csatlakozási és hitelesítési információkat a kódjába fixen "beégették" a vírusírók. Az azonban eddig még nem derült ki, hogy a károkozásokban szerepet kapó Amazon fiókokat a csalók maguk hozták-e létre, vagy feltörték azokat. Mindenesetre a Trend Micro jelzése alapján e káros célokra használt fiókokat az Amazon már letiltotta.

„Úgy tűnik, hogy a NotLockBit jelenleg nagyon intenzív fejlesztés alatt áll. Figyelembe véve azt nagyszabású fejlesztést, amit a zsarolók már eddig letettek az asztalra, nem lennénk meglepve, ha rövid- vagy középtávon újabb NotLockBit-alapú károkozásokat látnánk"

- nyilatkozták a SentinelOne kutatói.

#nedalnetwork #vírus #lockbit 2.0
Forrás: Biztonságportál
Közzétéve: 2024.10.28.
Az eredeti cikk megtekintéséhez kattintson ide!