NotLockBit Ransomware
Với việc ransomware đang trở thành mối đe dọa mạng chính, tầm quan trọng của việc bảo vệ các thiết bị kỹ thuật số là tối quan trọng. Một trong những kẻ tấn công mới nhất, NotLockBit Ransomware, đã mạo danh LockBit Ransomware khét tiếng để thực hiện các mục tiêu gây hại của mình. Có khả năng mã hóa và thu thập tệp, ransomware này nhắm vào cả hệ thống Windows và macOS, khiến nó trở thành kẻ thù linh hoạt và độc ác. Hãy cùng khám phá các chiến thuật và bước mà bạn có thể thực hiện để giữ an toàn cho hệ thống của mình.
Mục lục
Ngụy trang thành LockBit: Chiến thuật lừa đảo của NotLockBit
Cách tiếp cận của NotLockBit rất lừa đảo, bắt chước LockBit Ransomware về cả hình thức lẫn chiến thuật. Phần mềm đe dọa này đổi tên các tệp được mã hóa bằng một cấu trúc duy nhất. Ví dụ, '1.png' trở thành '1.png.3544329bb141eea628f7c3bff6c79c11.abcd', trong khi '2.pdf' được đổi tên thành '2.pdf.c1f3b4d9f4c2eb1a6e7a9c3b7f1c2a92.abcd'. Ngoài ra, NotLockBit thay đổi hình nền máy tính để báo hiệu sự hiện diện của nó và tạo cảm giác cấp bách.
Ghi chú đòi tiền chuộc cũng xảo quyệt không kém. Được ngụy trang dưới dạng yêu cầu đòi tiền chuộc LockBit, ghi chú thông báo cho nạn nhân về hành vi trộm cắp dữ liệu và mã hóa, hướng dẫn họ liên hệ thông qua Tox messenger. Đáng chú ý, nó thao túng nạn nhân bằng cách cung cấp quyền truy cập vào mạng công ty nếu họ hỗ trợ kẻ tấn công lấy được thông tin xác thực của công ty hoặc cài đặt phần mềm độc hại vào hệ thống công ty. Chiến lược này khai thác nạn nhân không chỉ để trả tiền chuộc mà còn có khả năng hành động như đồng phạm trong các cuộc tấn công mạng tiếp theo.
Bên trong quy trình tấn công: NotLockBit hoạt động như thế nào
Sau khi thực thi trên thiết bị, NotLockBit Ransomware bắt đầu bằng cách lấy một mã định danh duy nhất (UUID) của hệ thống bị nhiễm. Sau đó, nó nhập khóa công khai được mã hóa cứng trong cấu trúc của ransomware, khởi tạo quá trình mã hóa. NotLockBit mã hóa có chọn lọc các tệp cụ thể trên các hệ thống macOS hoặc Windows, đặc biệt là tránh một số thư mục nhất định để tối đa hóa tính ổn định của hệ thống và kéo dài sự hiện diện của nó mà không bị phát hiện.
Trên macOS, NotLockBit sử dụng lệnh 'osascript' để thay đổi hình nền máy tính, trong khi trên Windows, nó sử dụng hàm SystemParametersInfoW. Trong một số phiên bản Windows, NotLockBit tiến xa hơn một bước, xóa các tệp sao lưu như bản sao bóng, nếu không có thể hỗ trợ khôi phục dữ liệu.
NotLockBit tiếp cận nạn nhân như thế nào: Các kênh phân phối phổ biến
Tội phạm mạng dựa vào nhiều kênh khác nhau để phát tán phần mềm tống tiền NotLockBit, thường nhắm vào người dùng thông qua các biện pháp thuyết phục nhưng độc hại:
- Email lừa đảo : Nạn nhân có thể nhận được email có tệp đính kèm bị nhiễm độc hoặc liên kết độc hại được ngụy trang dưới dạng tài liệu hợp pháp, một kỹ thuật được ưa chuộng để truy cập ban đầu.
- Phần mềm bị xâm phạm : Các bản sao bị nhiễm phần mềm lậu, công cụ bẻ khóa hoặc trình tạo khóa cũng là một phương pháp phổ biến khác, khiến người dùng tải xuống từ các nguồn không đáng tin cậy bị lộ.
- Quảng cáo lừa đảo và thủ đoạn hỗ trợ kỹ thuật : Cảnh báo hỗ trợ kỹ thuật giả mạo hoặc quảng cáo lừa đảo có thể lừa người dùng tải phần mềm tống tiền vào hệ thống của họ.
- Bộ công cụ khai thác và lỗ hổng phần mềm : Kẻ tấn công NotLockBit khai thác lỗ hổng trong phần mềm lỗi thời hoặc chưa được vá, làm nổi bật tầm quan trọng của việc cập nhật thường xuyên.
- Các vectơ khác : Ransomware cũng lây lan qua mạng ngang hàng, trình tải xuống của bên thứ ba và ổ USB bị nhiễm, khiến việc cảnh giác trở nên cần thiết trên mọi loại phương tiện.
Tăng cường phòng thủ chống lại Ransomware: Các biện pháp bảo mật thiết yếu
Trước các mối đe dọa ransomware dai dẳng, việc triển khai các biện pháp an ninh mạng hiệu quả là rất quan trọng. Sau đây là cách người dùng có thể bảo vệ thiết bị và dữ liệu của mình khỏi NotLockBit Ransomware và các mối đe dọa tương tự:
- Sao lưu dữ liệu thường xuyên : Sao lưu ngoại tuyến thường xuyên là điều cần thiết để ngăn ngừa mất dữ liệu. Sử dụng lưu trữ đám mây an toàn hoặc ổ đĩa ngoài bị ngắt kết nối khỏi mạng trong quá trình sao lưu là một trong những biện pháp phòng thủ tốt nhất chống lại ransomware.
- Sử dụng phần mềm bảo mật nâng cao : Cài đặt và cập nhật phần mềm bảo mật uy tín có khả năng phát hiện phần mềm tống tiền. Các chương trình bảo mật có chức năng phát hiện dựa trên hành vi cung cấp khả năng bảo vệ bổ sung bằng cách xác định các kiểu hoạt động của phần mềm tống tiền.
- Thận trọng với email và liên kết : Email và liên kết lừa đảo vẫn là các phương tiện tấn công chính. Tránh truy cập tệp đính kèm hoặc nhấp vào liên kết trong email không mong muốn và luôn xác minh danh tính của người gửi.
- Cập nhật phần mềm thường xuyên : Ransomware thường khai thác lỗ hổng phần mềm lỗi thời. Cập nhật và sửa lỗi thường xuyên cho hệ điều hành, ứng dụng và phần mềm bảo mật là điều cần thiết để lấp đầy những lỗ hổng này.
- Giới hạn quyền truy cập : Hạn chế quyền truy cập cho người dùng thiết yếu và tránh cung cấp quyền quản trị khi không cần thiết. Giới hạn quyền hạn giúp giảm nguy cơ mã hóa toàn hệ thống và xâm phạm dữ liệu.
- Tránh xa các trang web và tải xuống không đáng tin cậy : Chỉ tải xuống các tệp từ các nguồn chính thức và đáng tin cậy, và tránh sử dụng phần mềm lậu hoặc liên kết tải xuống đáng ngờ. Phần mềm bị xâm phạm vẫn là phương pháp lây nhiễm phổ biến đối với phần mềm tống tiền.
- Bật tính năng bảo mật trên máy Mac và Windows : Các tính năng bảo mật tích hợp như Gatekeeper của macOS hoặc Windows Defender có thể tăng thêm một lớp phòng thủ bằng cách phát hiện các cài đặt phần mềm trái phép và phần mềm độc hại tiềm ẩn.
Kết luận: Phòng thủ chủ động là chìa khóa cho an ninh mạng
Sự gia tăng của ransomware như NotLockBit, sử dụng các chiến thuật lừa đảo và đa dạng, nhấn mạnh sự cần thiết của việc phòng thủ kỹ thuật số chủ động. Bằng cách thực hành các thói quen an ninh mạng siêng năng và luôn cập nhật thông tin, người dùng có thể giảm thiểu nguy cơ bị đe dọa và bảo vệ hệ thống của họ. NotLockBit có thể tinh vi, nhưng với các biện pháp phòng ngừa phù hợp, người dùng có thể đi trước tội phạm mạng một bước.
