19/12/2024
IT-Connect » Actualités » Actu Cybersécurité » Ransomware NotLockBit : cette nouvelle menace cible Windows et macOS !

Ransomware NotLockBit - Une menace pour Windows et macOS
Actu Cybersécurité

Ransomware NotLockBit : cette nouvelle menace cible Windows et macOS !

Florian BURNEL 0 commentaire

NotLockBit, c'est le nom d'un nouveau ransomware en pleine émergence, qui n'a rien à voir avec le célèbre ransomware LockBit, mais qui s'en inspire. Il y a, en effet, des similitudes au niveau du comportement et des tactiques employées. Faisons le point sur cette menace.

NotLockBit se présente sous la forme d'un binaire Golang qui a la particularité de cibler aussi bien les machines sous Windows que celles sous macOS. Il s'agit donc d'une nouvelle menace sophistiquée que l'on peut qualifier de « compatible » avec ces deux systèmes d'exploitation. L'utilisation du langage Go, n'est pas étrangère à cette compatibilité multi-OS.

"Notre analyse révèle que cette nouvelle souche présente des capacités avancées, notamment le chiffrement ciblé de fichiers, l'exfiltration de données et des mécanismes d'autodestruction.", précisent les chercheurs de Qualys dans leur dernier rapport.

La chaine d'exécution de NotLockBit

Lorsqu'il est déployé sur une machine, le ransomware NotLockBit commence par récupérer des informations sur la cible. Il va également générer une clé de chiffrement et l'inscrire dans un fichier, avec les informations sur la machine, et envoyer cela aux attaquants. Ensuite, une connexion à un bucket S3 hébergé sur AWS est établie dans le but d'extraire les données avant de passer à l'opération de chiffrement des fichiers.

Source : Qualys

"En exfiltrant des données, les attaquants s'assurent un accès continu aux informations sensibles de la victime, qui peuvent ensuite être exploitées pour une double extorsion, en menaçant de divulguer publiquement ou de vendre les données volées si la rançon n'est pas payée.", précise le rapport.

Lorsqu'il chiffre les données, le ransomware NotLockBit filtre les fichiers pour chiffrer en priorité les données personnelles et professionnelles, ainsi que les fichiers correspondants à des machines virtuelles. Les extensions telles que .csv, .doc, .png, .jpg, .pdf, .txt, .vmdk, .vmsd et .vbox font partie des fichiers chiffrés par ce ransomware. La liste complète est disponible sur le site de Qualys.

À la fin de l'opération, le fond d'écran de la machine est modifié pour montrer clairement que NotLockBit est passé par là, puis la menace s'autodétruit. Il est intéressant de constater que l'image utilisée par le groupe LockBit 2.0 est réutilisée.

Source : Qualys

Vous pouvez consulter le rapport de Qualys pour en savoir plus, et notamment avoir la liste des indicateurs de compromission.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Pannes Azure Outlook OneDrive - Attaques DDoS de couche 7

Pannes Azure, Outlook et OneDrive : Microsoft confirme que ce sont des attaques DDoS

Florian BURNEL 0

Windows Defender : il décroche la note maximale sur AV-Test

Florian BURNEL 0

Sophos informe ses clients d’une brèche dans sa base de données

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.