NotLockBit勒索软件可攻击macOS设备

安全研究人员警告说，一种能够加密文件并伪装成 LockBit 勒索软件的新型 macOS 恶意软件家族正在广泛传播。

该威胁用 Go 编写，针对 Windows 和 macOS 系统，采用勒索软件操作中常见的策略：窃取受害者数据进行双重勒索、加密文件并删除卷影副本以防止数据恢复。

这个新的恶意软件家族之所以脱颖而出，是因为它模仿了臭名昭著的勒索软件 LockBit，该软件于2024 年2 月和9 月被执法部门破获。

据 SentinelOne 称，该恶意软件被称为NotLockBit，以 x86_64 二进制文件的形式分发，这表明它仅适用于运行 Rosetta 仿真软件的 Intel 和 Apple 硅 macOS 设备。

该威胁在执行时会收集系统信息，并使用公钥加密在文件加密过程中使用的随机生成的主密钥。

通过依赖 RSA 非对称加密，NoLockBit 背后的威胁行为者确保没有攻击者持有的私钥就无法解密主密钥。

NotLockBit 将 .abcd 扩展名附加到加密文件，在每个包含加密文件的文件夹中放置一张勒索信，并尝试替换桌面壁纸以显示 LockBit 2.0 横幅。

趋势科技在最近的一份报告中透露，在开始加密过程之前，勒索软件会使用硬编码的 AWS 凭证将受害者的数据泄露到攻击者控制的 Amazon S3 存储桶中。

Trend Micro 警告称：“我们怀疑勒索软件作者要么使用自己的 AWS 账户，要么使用被盗的 AWS 账户。我们发现了 30 多个可能来自同一作者的样本，这表明该勒索软件正在积极开发和测试中。”

该网络安全公司向 AWS 报告了观察到的活动，AWS 暂停了 AWS 访问密钥和相关账户。

据 SentinelOne 称，NotLockBit 似乎是第一个针对 macOS 系统的功能性勒索软件家族，因为之前观察到的尝试仅仅是概念验证 (PoC) 样本。

SentinelOne 指出：“NotLockBit 恶意软件似乎正在大力开发中。目前，威胁行为者的 AWS 账户已被删除，并且没有已知的受害者或野外传播方法。考虑到迄今为止对这一威胁的开发程度，我们很惊讶在短期至中期内不会看到该威胁行为者采取更多行动。”

原文始发于微信公众号（河南等级保护测评）：NotLockBit勒索软件可攻击macOS设备