Los investigadores de seguridad han dado la voz de alarma sobre una nueva familia de ransomware que puede hacer temblar a los CISO por sus 'superpoderes'.
Los actores de amenazas la han bautizado como 'NotLockBit', ya que imita las técnicas del conocido ransomware LockBit, que sufrió un duro golpe a principios de año tras una operación policial internacional, pero que sigue 'vivo y coleando'.
Este nuevo malware se dirige tanto a los sistemas operativos macOS como Windows mediante estrategias de ataque personalizadas.
NotLockBit se distribuye como un binario x86_64 escrito en el lenguaje de programación Go e incorpora funciones avanzadas que mejoran su eficiencia y capacidad destructiva.
Entre ellas, se sirve de protocolos de cifrado robustos, como AES y RSA, para encriptar datos sensibles, haciéndolos inaccesibles si no se dispone de la correspondiente clave de descifrado privada del atacante.
La información exfiltrada se transfiere a repositorios controlados por los atacantes, lo que permite una doble extorsión. Es decir, los cibermalos amenazan tanto con la pérdida de los datos como con su compartición pública.
Para más inri, la banda se encarga de eliminar las opciones de recuperación posibles, deshaciéndose de sus propios rastros, incluyendo copias de seguridad y su binario de ejecución.
“Esta nueva variante demuestra un nivel significativo de sofisticación, combinando cifrado, robo de datos y autoeliminación para maximizar su impacto”, han subrayado los investigadores de ciberseguridad de Qualys.
En una primera fase el ransomware recopila información extensa del sistema, incluyendo especificaciones de hardware, versión del sistema operativo, configuraciones de red e identificadores únicos.
NotLockBot prioriza un amplio rango de archivos, apuntando a datos de alto valor.
Una amenaza personalizable
Por último, NotLockBit emplea diversos niveles de ofuscación para dificultar su detección y análisis, según informa Cybersecurity News.
Mientras que algunas muestras exhiben nombres de funciones visibles, otras están completamente ofuscadas o despojadas, lo que complica los esfuerzos de ingeniería inversa.
Por otro lado, algunas variantes omiten completamente la exfiltración de datos, lo que sugiere un desarrollo continuo o personalización para escenarios de ataque específicos.