- macOS se enfrenta a una amenaza emergente de ransomware, NotLockBit
- El malware NotLockBit muestra capacidades de bloqueo de archivos
- Las protecciones integradas de Apple están experimentando problemas debido a sofisticadas amenazas de ransomware
Durante años, ransomware Los ataques se dirigieron principalmente a los sistemas operativos Windows y Linux, pero los ciberdelincuentes han comenzado a centrar su atención en los usuarios de macOS, afirman los expertos.
El reciente descubrimiento de macOS.NotLockBit indica un cambio en el panorama, como se identificó recientemente malwareque lleva el nombre de la infame variante LockBit, podría marcar el comienzo de campañas de ransomware más serias contra usuarios de Mac.
Fue descubierto por investigadores de Trend Micro y luego analizado por Laboratorios centinelamacOS.NotLockBit muestra capacidades confiables de bloqueo de archivos y filtración de datos, lo que representa un peligro potencial para los usuarios de macOS.
Amenaza macOS.NotLockBit
El ransomware dirigido a Mac tiende a carecer de las herramientas necesarias para bloquear archivos o filtrar datos. La percepción general ha sido que macOS está mejor protegido contra este tipo de amenazas, en parte porque… manzanaFunciones de seguridad integradas, como protección de Transparencia, Consentimiento y Control (TCC). Sin embargo, la aparición de macOS.NotLockBit indica que los piratas informáticos están desarrollando activamente métodos más sofisticados para atacar los dispositivos Apple.
macOS.NotLockBit funciona de manera similar a otros ransomware, pero apunta específicamente a sistemas macOS. El malware simplemente funciona IntelMac basadas en Apple Silicon o Mac con emulación Rosetta instalada, lo que les permite ejecutar archivos binarios x86_64 en procesadores Apple más nuevos.
Tras su ejecución, el ransomware recopila información del sistema, incluido el nombre del producto, la versión y la arquitectura. También recopila datos sobre cuánto tiempo ha estado activo el sistema desde su último reinicio. Antes de bloquear los archivos de un usuario, macOS.NotLockBit intenta extraer datos a un servidor remoto usando… Amazonas Almacenamiento de servicios web (AWS) S3. El malware utiliza una clave pública asimétrica. CifradoLo que significa que el descifrado sin la clave privada del atacante es casi imposible.
El malware coloca el archivo README.txt en directorios que contienen archivos cifrados. Los archivos cifrados están marcados con una extensión “.abcd” y el archivo README indica a las víctimas cómo recuperar sus archivos, generalmente pagando un rescate. Además, en versiones posteriores del malware, macOS.NotLockBit muestra un fondo de escritorio con el tema LockBit 2.0, con la marca elegida por el grupo LockBit Ransomware.
Afortunadamente, la protección TCC de Apple sigue siendo un dolor de cabeza para macOS.NotLockBit. Estas salvaguardas requieren el consentimiento del usuario antes de otorgar acceso a evidencia confidencial o permitir el control de procesos como eventos del sistema. Si bien esto crea un obstáculo para la funcionalidad completa del ransomware, eludir la protección TCC no es insuperable, y los expertos en seguridad esperan que futuras iteraciones del malware puedan desarrollar formas de eludir estas alertas.
Los investigadores de SentinelLabs y Trend Micro aún no han identificado un método de distribución específico y no se conocen víctimas en este momento. Sin embargo, la rápida evolución del malware, demostrada por el tamaño y la complejidad cada vez mayores de cada nueva muestra, indica que los atacantes están trabajando activamente para mejorar sus capacidades.
SentinelLabs ha identificado varias versiones del malware, lo que indica que macOS.NotLockBit todavía está en desarrollo activo. Las primeras muestras parecían más ligeras en funcionalidad, centrándose únicamente en el cifrado. Las versiones posteriores agregaron capacidades de extracción de datos y comenzaron a utilizar el almacenamiento en la nube AWS S3 para filtrar archivos robados. Los atacantes codificaron las credenciales de AWS en el malware para crear nuevos repositorios para almacenar los datos de las víctimas, aunque estas cuentas han sido desactivadas desde entonces.
En una de sus versiones más recientes, macOS.NotLockBit requiere macOS Sonoma, lo que sugiere que los desarrolladores de malware están apuntando a algunas de las últimas versiones de macOS. También mostró intentos de ofuscar el código, lo que sugiere que los atacantes están probando diferentes técnicas para evitar la detección. antivirus programación.