Cover Image for El ransomware NotLockBit apunta a usuarios de Apple con sofisticadas técnicas de bloqueo de archivos y extracción de datos.

El ransomware NotLockBit apunta a usuarios de Apple con sofisticadas técnicas de bloqueo de archivos y extracción de datos.

macOS.NotLockBit no está relacionado con el conocido ransomware LockBit.

La reciente identificación de un nuevo tipo de malware, conocido como macOS.NotLockBit, señala una preocupación creciente en el ámbito de la ciberseguridad, ya que los atacantes parecen estar dirigiendo sus esfuerzos hacia los usuarios de macOS. Este malware, que toma su nombre de la famosa variante LockBit, exhibe habilidades de cifrado de archivos y exfiltración de datos, lo que representa un riesgo potencial para los dispositivos de Apple.

Investigadores de Trend Micro y SentinelLabs han analizado este nuevo software malicioso y han encontrado que, aunque los ataques de ransomware se han centrado en plataformas como Windows y Linux, ahora pueden estar dirigidos con mayor frecuencia a los usuarios de Mac. A pesar de que se consideraba que macOS contaba con mejores defensas contra este tipo de amenazas, la aparición de macOS.NotLockBit indica que los ciberdelincuentes están desarrollando técnicas más complejas para comprometer los dispositivos de Apple.

El funcionamiento de macOS.NotLockBit es similar al de otros tipos de ransomware, aunque con un enfoque exclusivo en los sistemas macOS. Este malware solo se puede ejecutar en Macs basados en Intel, así como en Macs con procesadores Apple Silicon que tengan el software de emulación Rosetta instalado. Al ser activado, recopila información del sistema, incluida la versión y arquitectura del producto, así como datos sobre el tiempo transcurrido desde el último reinicio. Antes de encriptar los archivos del usuario, trata de exfiltrar datos a un servidor remoto utilizando el almacenamiento S3 de Amazon Web Services (AWS).

Para complicar aún más la situación, el malware utiliza un sistema de cifrado asimétrico que requiere una clave privada para la descifrado de los archivos, lo que hace que la recuperación sin la intervención del atacante sea casi imposible. Además, crea un archivo README.txt en los directorios que contienen los archivos encriptados, el cual proporciona instrucciones a las víctimas sobre cómo recuperar sus datos a cambio de un rescate. Versiones más recientes del malware presentan un fondo de pantalla temático de LockBit 2.0, reforzando su asociación con el grupo de ransomware LockBit.

A pesar de estas amenazas, las protecciones de TCC (Transparencia, Consentimiento y Control) integradas en macOS siguen siendo un obstáculo significativo para la efectividad de macOS.NotLockBit. Estas medidas de seguridad requieren el consentimiento del usuario antes de permitir el acceso a directorios sensibles, lo que limita parcialmente las capacidades del ransomware. Sin embargo, expertos en seguridad advierten que los atacantes podrían encontrar formas de evadir estos mecanismos de protección en el futuro.

Hasta el momento, los investigadores no han determinado un método específico de distribución ni se ha reportado víctimas del nuevo malware. Sin embargo, la evolución rápida de macOS.NotLockBit, caracterizada por un aumento en la complejidad de cada nueva versión, sugiere que los atacantes están intensamente comprometidos en mejorar sus capacidades. Las muestras iniciales del malware se centraban solo en el cifrado, mientras que las versiones recientes han incluido funciones de exfiltración de datos y el uso de almacenamiento en la nube AWS S3 para guardar archivos robados.

Una de las últimas versiones de macOS.NotLockBit requiere macOS Sonoma, indicando que los desarrolladores del malware están adaptándose a las últimas versiones del sistema operativo. También han comenzado a implementar técnicas para ofuscar el código, lo que sugiere que están probando métodos para eludir la detección por parte de software antivirus.