Περιεχόμενα Άρθρου
- Το macOS αντιμετωπίζει μια αναδυόμενη απειλή ransomware, το NotLockBit
- Το κακόβουλο λογισμικό NotLockBit επιδεικνύει δυνατότητες κλειδώματος αρχείων
- Οι ενσωματωμένες προστασίες της Apple αντιμετωπίζουν προβλήματα από εξελισσόμενες απειλές ransomware
Για χρόνια, οι επιθέσεις ransomware στοχεύουν κυρίως πλατφόρμες Windows και Linux, ωστόσο οι εγκληματίες του κυβερνοχώρου έχουν αρχίσει να στρέφουν την εστίασή τους στους χρήστες macOS, ισχυρίζονται οι ειδικοί.
Η πρόσφατη ανακάλυψη του macOS.NotLockBit υποδηλώνει μια αλλαγή στο τοπίο, καθώς αυτό το πρόσφατα εντοπισμένο κακόβουλο λογισμικό, που πήρε το όνομά του από τη διαβόητη παραλλαγή LockBit, θα μπορούσε να σηματοδοτήσει την αρχή πιο σοβαρών εκστρατειών ransomware εναντίον χρηστών Mac.
Ανακαλύφθηκε από ερευνητές στο Trend Micro και αναλύθηκε αργότερα από SentinelLabsτο macOS.NotLockBit εμφανίζει αξιόπιστες δυνατότητες κλειδώματος αρχείων και εξαγωγής δεδομένων, θέτοντας δυνητικό κίνδυνο για τους χρήστες macOS.
απειλή macOS.NotLockBit
Ransomware που στοχεύει συσκευές Mac τείνει να στερείται των απαραίτητων εργαλείων για το αληθινό κλείδωμα των αρχείων ή την εξαγωγή δεδομένων. Η γενική αντίληψη ήταν ότι το macOS προστατεύεται καλύτερα από τέτοιου είδους απειλές, εν μέρει λόγω των ενσωματωμένων χαρακτηριστικών ασφαλείας της Apple, όπως η προστασία διαφάνειας, συναίνεσης και ελέγχου (TCC). Ωστόσο, η εμφάνιση του macOS.NotLockBit σηματοδοτεί ότι οι χάκερ αναπτύσσουν ενεργά πιο εξελιγμένες μεθόδους για τη στόχευση συσκευών Apple.
Το macOS.NotLockBit λειτουργεί παρόμοια με άλλα ransomware, αλλά στοχεύει συγκεκριμένα συστήματα macOS. Το κακόβουλο λογισμικό εκτελείται μόνο σε υπολογιστές Mac που βασίζονται στην Intel ή σε υπολογιστές Apple silicon Mac με εγκατεστημένο λογισμικό εξομοίωσης Rosetta, το οποίο του επιτρέπει να εκτελεί δυαδικά αρχεία x86_64 σε νεότερους επεξεργαστές Apple.
Κατά την εκτέλεση, το ransomware συλλέγει πληροφορίες συστήματος, συμπεριλαμβανομένου του ονόματος προϊόντος, της έκδοσης και της αρχιτεκτονικής. Συλλέγει επίσης δεδομένα για το πόσο καιρό λειτουργεί το σύστημα από την τελευταία επανεκκίνηση του. Προτού κλειδώσει τα αρχεία του χρήστη, το macOS.NotLockBit επιχειρεί να διεγείρει δεδομένα σε έναν απομακρυσμένο διακομιστή χρησιμοποιώντας τον χώρο αποθήκευσης S3 των Υπηρεσιών Ιστού της Amazon (AWS). Το κακόβουλο λογισμικό χρησιμοποιεί ένα δημόσιο κλειδί για ασύμμετρη κρυπτογράφηση, που σημαίνει ότι η αποκρυπτογράφηση χωρίς το ιδιωτικό κλειδί του εισβολέα είναι σχεδόν αδύνατη.
Το κακόβουλο λογισμικό ρίχνει ένα αρχείο README.txt σε καταλόγους που περιέχουν κρυπτογραφημένα αρχεία. Τα κρυπτογραφημένα αρχεία επισημαίνονται με μια επέκταση “.abcd” και το README καθοδηγεί τα θύματα πώς να ανακτήσουν τα αρχεία τους, συνήθως πληρώνοντας λύτρα. Επιπλέον, σε νεότερες εκδόσεις του κακόβουλου λογισμικού, το macOS.NotLockBit εμφανίζει μια ταπετσαρία επιφάνειας εργασίας με θέμα το LockBit 2.0, συνεπιλέγοντας την επωνυμία της ομάδας ransomware LockBit.
Ευτυχώς, οι προστασίες TCC της Apple παραμένουν ένα σκληρό καρύδι για το macOS.NotLockBit. Αυτές οι διασφαλίσεις απαιτούν τη συναίνεση του χρήστη πριν από την παραχώρηση πρόσβασης σε ευαίσθητους καταλόγους ή τον έλεγχο διαδικασιών όπως τα συμβάντα συστήματος. Αν και αυτό δημιουργεί εμπόδιο για την πλήρη λειτουργικότητα του ransomware, η παράκαμψη της προστασίας TCC δεν είναι ανυπέρβλητη και οι ειδικοί ασφαλείας αναμένουν ότι μελλοντικές επαναλήψεις του κακόβουλου λογισμικού ενδέχεται να αναπτύξουν τρόπους παράκαμψης αυτών των ειδοποιήσεων.
Οι ερευνητές από τα SentinelLabs και Trend Micro δεν έχουν ακόμη εντοπίσει μια συγκεκριμένη μέθοδο διανομής και δεν υπάρχουν γνωστά θύματα προς το παρόν. Ωστόσο, η ταχεία εξέλιξη του κακόβουλου λογισμικού που καταδεικνύεται από το αυξανόμενο μέγεθος και την πολυπλοκότητα κάθε νέου δείγματος δείχνει ότι οι εισβολείς εργάζονται ενεργά για τη βελτίωση των δυνατοτήτων του.
Το SentinelLabs εντόπισε πολλές εκδόσεις του κακόβουλου λογισμικού, υποδηλώνοντας ότι το macOS.NotLockBit βρίσκεται ακόμη σε ενεργό ανάπτυξη. Τα πρώτα δείγματα εμφανίζονταν πιο ελαφριά σε λειτουργικότητα, εστιάζοντας αποκλειστικά στην κρυπτογράφηση. Οι μεταγενέστερες εκδόσεις πρόσθεσαν δυνατότητες εξαγωγής δεδομένων και άρχισαν να χρησιμοποιούν το AWS S3 cloud storage για την εξαγωγή κλεμμένων αρχείων. Οι εισβολείς κωδικοποίησαν τα διαπιστευτήρια AWS στο κακόβουλο λογισμικό για να δημιουργήσουν νέα αποθετήρια για την αποθήκευση δεδομένων θυμάτων, αν και αυτοί οι λογαριασμοί έκτοτε έχουν απενεργοποιηθεί.
Σε μία από τις πιο πρόσφατες εκδόσεις του, το macOS.NotLockBit απαιτεί το macOS Sonoma, υποδεικνύοντας ότι οι προγραμματιστές κακόβουλου λογισμικού στοχεύουν ορισμένες από τις πιο πρόσφατες εκδόσεις macOS. Έδειξε επίσης απόπειρες συσκότισης του κώδικα, υποδηλώνοντας ότι οι εισβολείς δοκιμάζουν διάφορες τεχνικές για να αποφύγουν τον εντοπισμό από λογισμικό προστασίας από ιούς.
Μπορεί επίσης να σας αρέσει
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
