macOS面临新型勒索软件威胁

关键要点

虽然macOS上的勒索软件仍然是一种小型且不太可能的威胁，但研究人员警告说，名为“macOSNotLockBit”的新型恶意软件正在发展，可能会对苹果电脑构成可信威胁。SentinelOne的研究表明，macOS上的勒索软件以前大多停留在概念验证阶段，难以实际入侵系统。该恶意软件具有成熟的基础设施，运用了非对称加密和复杂的分散技术。尽管事情在发展，但目前尚未检测到该恶意软件在实际攻击中被广泛使用，且仍需有效的传播机制感染企业设备。

SentinelOne研究人员在10月22日的博客中指出，macOS上的勒索软件威胁大多处于概念验证PoC阶段，难以有效破坏系统。研究人员将这一恶意软件命名为macOSNotLockBit，因为它出自一个不同的威胁者，该威胁者明显在借用LockBit的名字。上周的TrendMicro博文并没有给该恶意软件一个特定的名字。有趣的是，SentinelOne的研究人员指出，LockBit曾参与过一次相对可信的勒索尝试。

蚂蚁加速npv下载

SentinelLabs的高级研究员Phil Stokes解释说：“正如我们之前的研究所述，之前macOS上的勒索软件从未真正对用户构成威胁，并且没有任何记录显示有组织向威胁者支付赎金以解锁或找回文件。”他提到了关于这一威胁的四个显著点：

关键点描述成熟的基础设施与其他概念验证不同，此恶意软件配备了完整的数据外泄和存储基础设施，这是任何大规模行动中必不可少的步骤，表明攻击者有重大野心。非对称加密该恶意软件具有功能性的非对称加密方案，意味着不可能在没有攻击者的帮助下解密被锁定的文件。复杂的分散技术恶意软件开发者使用了LockBit的“壁纸”，试图提高其可信性，以增加获得支付的机会，并/或误导攻击归属于已知团体，从而分散执法部门的注意力。持续开发的迹象该威胁似乎在活跃传播之前被发现。不过，由于SentinelOne发现的最新样本可追溯到2024年5月，因此可以合理推测在此期间已经进行了进一步的开发，可能不久后即可看到该威胁者的下一个发展阶段。

macOS上的过往勒索软件尝试

Sectigo的高级研究员Jason Soroko指出，过去曾有MacRansom2017年和EvilQuest2020年等专注于macOS的勒索软件活跃感染macOS系统。NotLockBit使用非对称加密加密文件，这意味着在没有私钥的情况下，解密数据的可能性要小得多。

Soroko表示，用于加密的主密钥的加密是基于RSA 2048公钥，从而使其特别坚固。该勒索软件随后将数据外泄到Amazon S3桶中，以实现双重敲诈。

“NotLockBit似乎旨在利用人们在警告消息面前点击的意愿，这些警告消息由macOS的透明度、同意和控制TCC框架抛出，”Soroko说道。“虽然TCC旨在增强安全性，但并不完美，尤其是当恶意软件能够滥用受信任的进程进行攻击时，攻击者借助已有适当权限的合法系统进程或应用程序来绕过macOS TCC。然而，在这种情况下，攻击者大多依赖于人们忽