El equipo de investigadores de SentinelOne ha publicado una investigación en la que indican haber identificado un nuevo ransomware al cual se ha denominado NotLockBit y apunta contra dispositivos que utilizan macOS.
En concreto, dicho nombre viene a raíz de que esta nueva familia de malware suplanta a LockBit mostrando en el fondo de escritorio un banner de LockBit 2.0. En cuanto a características de NotLockBit, este se distribuye como un binario x86_64, lo que sugiere que solo funciona en dispositivos macOS con Intel y Apple Silicon que ejecutan el software de emulación Rosetta. Asimismo, utiliza un cifrado asimétrico RSA, por lo que el actor malicioso detrás de NoLockBit garantiza que la clave maestra no se pueda descifrar sin la clave privada en poder del atacante.
En cuanto a la exfiltración, esta se realiza a un bucket de AWS controlado por el atacante, utilizando credenciales de AWS codificadas. Desde SentinelOne señalan que pese a que actualmente dichas cuentas de AWS han sido eliminadas, consideran que debido a la complejidad de la amenaza, esta seguiría en desarrollo.