行业新闻与博客
以 MacOS 为中心的勒索软件试图利用 LockBit 品牌
据两家威胁情报提供商称,一名网络威胁行为者一直在利用旧的 LockBit 构建器来试验针对 Apple macOS 设备的勒索软件。
在 10 月 22 日的一份报告中,网络安全提供商 SentinelOne 的研究部门 SentinelLabs 分享了来自未识别威胁行为者的新型 macOS 恶意软件样本的观察结果。
该报告与趋势科技之前的发现相关,该发现表明 Golang 勒索软件样本滥用亚马逊简单存储服务 (S3) 传输加速功能窃取受害者的文件并将其上传到攻击者控制的 S3 存储桶。
在这两种情况下,恶意软件都试图伪装成 LockBit 勒索软件。
SentinelLabs 的研究人员将此活动集群命名为“macOS NotLockBit”。
MacOS NotLockBit 恶意软件分析
SentinelLabs 报告称,它检测到的勒索软件只能在安装了 Rosetta 仿真软件的 Intel Mac 或 Apple Silicon Mac 上运行。
勒索软件在执行时会从主机收集系统信息,例如产品名称、版本和构建、架构以及自上次启动以来的时间。然后,它会尝试将用户的数据泄露到远程服务器。
嵌入式公钥允许进行非对称加密,如果不知道攻击者持有的私钥就无法解密。
恶意软件使用这个嵌入的公钥来加密随机生成的主密钥。该密钥用于后续的文件加密过程,并写入存放在每个包含加密文件的文件夹中的 README.txt 文件,可通过其 .abcd 文件扩展名识别。
加密过程完成后,恶意软件会尝试使用 osascript 更改桌面壁纸并显示 LockBit 2.0 横幅。
LockBit 仅具名称
LockBit 3.0 构建器(又名 LockBit Black)于 2022 年 3 月发布,六个月后被该组织心怀不满的开发人员泄露,导致勒索软件即服务 (RaaS) 领域中断。
Recorded Future 的网络威胁情报分析师 Allan Liska 在接受Infosecurity采访时表示,这个泄露的构建器是“尽管 LockBit 集团本身的活跃程度远不及该集团,但我们仍然看到 LockBit 品牌活动有所增加”的主要原因,该集团在 2024 年初受到了执法部门打击的严重影响。
SentinelOne 高级威胁研究员 Jim Walter 告诉Infosecurity,该构建器降低了低技术恶意黑客的进入门槛。
“第一层组织由脚本小子级别的黑客活动分子组成,他们只是试图破坏并造成混乱和破坏,不一定从勒索软件行动中获利。除了历史上的破坏和 DDoS 活动之外,他们现在还可以使用 LockBit 构建器等广泛使用的勒索软件工具来表明立场,”他解释道。
然而,在 macOS NotLockBit 的情况下,勒索软件实际上并没有使用任何 LockBit 构建器。它只会导致出现 LockBit 2.0 横幅,这表明恶意软件背后的组织纯粹是在利用 LockBit 的高知名度。
SentinelLabs 报道称:“正如其他研究人员指出的那样,LockBit 2.0 已经被 3.0 版本取代一段时间了,其开发背后的关键参与者也已被逮捕,这意味着,开发这种恶意软件的人很可能不是 LockBit。”
MacOS 目标即将到来
此次攻击活动的另一个有趣元素是专门针对 macOS 设备——对于勒索软件攻击者来说,这仍然是未知领域。真正的 LockBit 组织是少数几个试图入侵 macOS 系统以部署勒索软件的组织之一。
SentinelLabs 的研究人员写道:“到目前为止,针对 Mac 电脑的勒索软件威胁充其量只是‘概念验证’,最坏的情况是完全无法达到其明显的目标。”
据报道,在该恶意软件的所有版本中,攻击者都受到 Apple 的“透明、同意和控制” (TCC) 保护的阻碍。由于恶意软件试图遍历某些目录并控制系统事件等进程,因此多个警报需要同意。然而,SentinelLabs 的研究人员预计,威胁行为者将在未来版本中开发出一种绕过这些保护措施的方法。
SentinelLabs 总结道:“macOS 上的勒索软件仍然是一个较小且不太可能发生的威胁,但很明显,威胁行为者已经明白,在其他平台上行之有效的双重勒索方法(本质上是信息窃取程序与文件锁相结合)在 Apple 桌面平台上同样可行。”
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服