MKD-CIRT National Centre for Computer Incident Response
LockBit ransomware групата создаде енкриптори кои таргетираат Mac за прв пат, најверојатно станувајќи првата голема ransomware операција што некогаш го таргетира macOS.
Новите ransomware енкриптори беа откриени од страна на истражувачот за сајбер-безбедност, MalwareHunterTeam, кој открил ZIP архива на VirusTotal што содржела LockBit енкриптори.
Историски гледано, LockBit операцијата користи енкриптори дизајнирани за напади на Windows, Linux и VMware ESXi серверите. Сепак, оваа архива [VirusTotal] исто така содржеше претходно непознати енкриптори за macOS, ARM, FreeBSD, MIPS и SPARC процесори.
Овие енкриптори вклучуваат и еден со име „locker_Apple_M1_64“ [VirusTotal] што ги таргетира поновите Mac компјутери што работат на Apple Silicon.
Понатамошното истражување на истражувачот за сајбер безбедност Florian Roth откри Apple M1 енкриптор поставен на VirusTotal во декември 2022 година, што покажува дека овие примероци се присутни некое време.
BleepingComputer ги анализираше стринговите во LockBit енкрипторот за Apple M1 и пронајде стрингови кои не се на место во macOS енкрипторот, што покажува дека тие веројатно биле случајно споени заедно на тест.
На пример, има бројни референци за VMware ESXi, што не е на место во енкрипторот на Apple M1, бидејќи VMare објави дека нема да ја поддржува CPU архитектурата.
Енкрипторот содржи список од шеесет и пет екстензии на датотеки и имиња на датотеки што ќе бидат исклучени од шифрирањето, а сите тие се наставки и папки на датотеки на Windows.
Речиси сите ESXi и Windows стрингови се исто така присутни во MIP и FreeBSD енкрипторите, што покажува дека тие користат заедничка база на кодови.
Добрата вест е дека овие енкриптори веројатно не се подготвени за ширење во вистински напади против macOS уредите.
Истражувачот на Cisco Talos, Azim Khodjibaev, за BleepingComputer изјави дека врз основа на нивното истражување, енкрипторите биле наменети како тест и никогаш не биле наменети за ширење во сајбер напади.
macOS експертот за сајбер-безбедност, Patrick Wardle, дополнително ја потврди теоријата на BleepingComputer и Cisco дека станува збор за развој/тест, наведувајќи дека енкрипторот е далеку од комплетен бидејќи му недостасува потребната функционалност за правилно шифрирање на Mac.
Наместо тоа, Wardle за BleepingComputer изјави дека верува дека macOS енкрипторот е базиран на Linux верзијата и е компајлиран за macOS со некои основни конфигурациски поставки.
Wardle изјави дека кога ќе се стартува macOS енкрипторот, тој паѓа поради грешка со прелевање на баферот во неговиот код.
Wardle потоа сподели дека развивачот на LockBit мора прво „да дознае како да го заобиколи TCC“ пред да стане функционален енкриптор.
Детална техничка анализа спроведена од страна на Wardle на новиот Mac енкриптор може да се најде на Objective See.
Додека Windows е најтаргетиран оперативен систем во ransomware нападите, ништо не ги спречува програмерите да создадат ransomware што ги таргетира Mac-уредите.
Затоа, сите корисници на компјутери, вклучително и сопствениците на Mac, треба да практикуваат добри навики за безбедност на интернет, вклучително и ажурирање на оперативниот систем, избегнување отворање непознати прилози и извршни датотеки, генерирање офлајн резервни копии и користење силни и уникатни лозинки на секоја страница што ја посетуваат.
Како одговор на прашањата од страна на BleepingComputer, LockBit претставникот со кој се соочува јавноста, познат како LockBitSupp, изјави дека Mac енкрипторот „активно се развива“.
Иако не е јасно колку корисен би бил macOS енкрипторот, некои LockBit подржувачи ги таргетираат потрошувачите и малите бизниси, каде што енкриптор како овој би можел да биде покорисен.
Извор: BleepingComputer