NotLockBit, nuevo ataque de ransomware desconocido para Windows y MacOS

Una nueva familia de ransomware, conocida como NotLockBit, ha emergido como un peligro significativo en el ámbito de la ciberseguridad. Este ransomware replica muchas de las tácticas y comportamientos del reconocido LockBit, pero se destaca por introducir capacidades innovadoras y un enfoque multiplataforma que afecta tanto a macOS como a Windows.

Desarrollado como un binario x86_64 en el lenguaje Go, NotLockBit se caracteriza por un diseño avanzado que incorpora funciones destacadas:

  1. Cifrado selectivo de archivos: utiliza algoritmos robustos como AES y RSA para bloquear datos críticos.
  2. Exfiltración de información: transfiere archivos robados a servidores controlados por los atacantes, a menudo mediante servicios como Amazon S3, facilitando la estrategia de doble extorsión.
  3. Autoborrado: elimina sus propios rastros, incluidas las copias de seguridad, para dificultar la recuperación.

Según un análisis exhaustivo realizado por Qualys, NotLockBit exhibe un nivel notable de sofisticación técnica, desde su proceso inicial de reconocimiento hasta el cifrado de datos.

Proceso de Ataque

La primera etapa del ataque consiste en la recopilación de datos del sistema, utilizando el módulo go-sysinfo para obtener información detallada, como especificaciones de hardware, configuración de red, detalles del sistema operativo y UUID.

El cifrado se lleva a cabo en tres pasos clave:

  1. Clave RSA: decodifica una clave pública RSA desde un archivo PEM incorporado.
  2. Clave maestra: genera una clave de cifrado aleatoria, cifrada con RSA.
  3. Cifrado de archivos: aplica esta clave para cifrar archivos, excluyendo directorios del sistema como /proc/, /sys/ y /dev/.

Los archivos cifrados permanecen en su ubicación original, renombrados con un identificador único y la extensión .abcd. Al mismo tiempo, los archivos originales se eliminan para impedir su recuperación sin la clave privada.

Alcance del Ataque

NotLockBit apunta a una amplia variedad de archivos, incluyendo:

  • Documentos personales: .doc, .pdf, .txt.
  • Archivos profesionales: .csv, .xls, .ppt.
  • Contenido multimedia: .jpg, .png, .mpg.
  • Datos de máquinas virtuales: .vmdk, .vmsd, .vbox.

Además del cifrado, este ransomware extrae información confidencial hacia servidores remotos. Esto habilita una estrategia de doble extorsión: exigir un rescate bajo la amenaza de divulgar o vender los datos robados.

Una vez completado el cifrado, el ransomware reemplaza el fondo de pantalla de la víctima con una nota de rescate y ejecuta su mecanismo de autoeliminación, eliminando tanto su binario como copias ocultas.

Técnicas de Ocultación

NotLockBit utiliza varios métodos de ofuscación para evitar la detección:

  • Algunas funciones visibles tienen nombres que ocultan su propósito real.
  • Los binarios pueden estar altamente ofuscados o incluso eliminados, dificultando el análisis por parte de los investigadores.

Se han identificado variantes que omiten la exfiltración de datos, enfocándose exclusivamente en el cifrado, lo que sugiere que los atacantes están adaptando sus estrategias o continúan desarrollando este malware.

Recomendaciones

Para mitigar el impacto de NotLockBit, se recomiendan las siguientes medidas:

  1. Copias de seguridad regulares: mantenga respaldos desconectados de datos esenciales.
  2. Protección avanzada de endpoints: implemente soluciones capaces de detectar comportamientos propios del ransomware.
  3. Seguridad en la red: utilice firewalls, sistemas de detección de intrusiones y controles de acceso rigurosos.
  4. Capacitación del personal: eduque a los usuarios sobre phishing, ingeniería social y tácticas similares.

Esta familia de ransomware exige una estrecha vigilancia por parte de los investigadores de seguridad y defensas sólidas por parte de las organizaciones para frustrar sus consecuencias potencialmente devastadoras.

Cada vez es más evidente la necesidad de monitorizar los comportamientos de los endpoints, y así, poder dar respuesta anticipada a cualquier evento no legítimo que pueda comprometer nuestros recursos. 

«Desde nuestro SOC podemos ayudarte a no preocuparte por este tipo ataques, que se escapan de las manos de cualquier técnico no especializado, ponte en contacto con nosotros»

Imagen de Iker Berbel

Iker Berbel

Consultor IT

Otros contenidos que te pueden intersar:

Ciberataque a Endesa: análisis del incidente y lecciones Tendencias en Ciberseguridad 2025 Microsoft elimina el cifrado RC4 tras 25 años Utiliza software antivirus y antimalware Log4Shell: La vulnerabilidad que sacudió el mundo de la ciberseguridad Default ThumbnailVulnerabilidades críticas en impresoras HP
Comparte este contenido:

Calendario de la Ciberseguridad /26

¡Pídelo gratis!
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Servicio de avisos

Recibe las alertas de seguridad más importantes a tu email
Infordisa / Security Operations Center
Powered by  Cumplimiento de cookies de GDPR
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.