Търсене
Close this search box.

Откриха първия голям рансъмуер за macOS

Насочвайки се към потребителите на Apple, LockBit отива там, където никоя голяма банда за рансъмуер не е била.

Печално известната банда за изнудване LockBit е разработила версия на своя зловреден софтуер за устройства с MacOS – първото навлизане на голяма група за изнудване на територията на Apple.

LockBit е една от най-плодотворните в света операции с рансъмуер като услуга (RaaS), известна с участието си в атаки на високо ниво, сложни зловредни предложения и отличен PR.

Първите доказателства, че бандата експериментира с macOS, бяха публикувани от хранилището за рансъмуер на MalwareHunterTeam на 15 април. „Доколкото мога да кажа – гласеше туитът, – това е първата насочена към устройствата Mac на Apple компилация на образеца на рансъмуер LockBit … Дали това е първият случай за бандите с „големи имена“?“

Малко след това vx-underground – сайт за изследване на зловреден софтуер – добави брънка към историята. „Изглежда, че сме закъснели за играта“, пише в Туитър. „Вариантът за macOS е наличен от 11 ноември 2022 г.“

Криптиращият софтуер за Mac може да вдигне тревога, макар че по-внимателното разглеждане на бинарния файл разкрива, че той не е съвсем готов за праймтайма.

„Засега въздействието върху средния потребител на Mac в предприятието е по същество нулево“, казва пред Dark Reading Патрик Уордъл, основател на фондацията Objective-See. Той е разглобил извадка в анализ, публикуван на 16 април.

Въпреки това той добавя: „Мисля, че на това трябва да се гледа като на предвестник на предстоящи неща. Имате много добре финансирана и мотивирана, голяма група за рансъмуер, която казва: „Хей, насочваме вниманието си към macOS“.

Ще бъдат ли готови потребителите на Mac, когато ransomware най-накрая ги застигне?

LockBit в Mac

Откритието от събота може да се опише най-добре като зловреден софтуер за Windows с тунинг за macOS.

При разопаковането на кода Wardle откри множество низове, свързани с артефакти на Windows – като autorun.inf, ntuser.dat.log и т.н. Единственият компонент, показващ намеренията към операционната система, беше променлива, наречена „apple_config“.

„Това е единственият случай (който открих) на специфични за macOS препратки/приспособления“, отбеляза Wardle в анализа, като добави, че „(останалата част от бинарния код на зловредния софтуер просто прилича на Linux код, компилиран за macOS)“.

Имаше и други признаци, че разработчиците все още не са завършили проекта си. Например кодът е бил подписан „ad-hoc“ – заместител на, да речем, откраднат Apple Developer ID. Това би могло да бъде заместител за бъдещи клиенти на RaaS, но засега, обяснява Уордъл, „това означава, че ако бъде изтеглен в система с MacOS (т.е. разгърнат от нападателите), MacOS няма да му позволи да работи“.

Достатъчно е да се каже: LockBit все още не е пробила  Apple. Но това не означава, че потребителите на Mac могат да се отпуснат.

Окупиращият софтуер е насочен към Mac компютрите

Никога досега някоя от големите компании за рансъмуер – Conti, Clop, Hive и др. – не е разработвала рансъмуер за компютри Mac. Причината за това може да е преди всичко една.

„Погледнете традиционно кои са целите на големите атаки с рансъмуер. Това са предприятията: болници, индустриалци, тези по-традиционни компании“, посочва Уордъл. „Те обикновено са базирани на Windows.“

Бавно обаче устройствата на Apple се разпространяват в корпоративните среди. Данните от проучване на JAMF от 2021 г. сочат, че таблетите на Apple са предпочитан избор за предприятията, iPhone представляват около половината от всички смартфони в бизнес средите, а „средното проникване“ на устройства с macOS в предприятията е около 23%, в сравнение със 17% две години по-рано.

„Пандемията и работата от вкъщи наистина стимулираха това“, твърди Уордъл. „Много хора имат компютри Mac. И тъй като по-младото поколение навлиза в работната сила – то се чувства по-комфортно с екосистемата на Apple.“

Вследствие на това той добавя, че „хакерите, които са много опортюнистични, осъзнават, че много от потенциалните им жертви сега са в преход и затова трябва да развиват своите злонамерени творения“.

Така че въпросът може би не е дали групите за изнудване ще се насочат към macOS, а колко скоро. „Това,“ смята Уордъл, „е въпросът за милион долара.“

Подготвени ли са устройствата на Apple за рансъмуер?

За щастие на потребителите на Mac, Apple е предвидила този ден „D“ на ransomware и активно се е подготвила да го изпревари. Уордъл посочва две основни защити, които вече са вградени в операционната система.

На първо място, казва той, „системните файлове са в режим само за четене. Така че дори ако ransomware получи root достъп до компютъра, той все още няма да може да промени тези критични файлове и да блокира или да направи системата неработеща.“

Втората е TCC – съкращение от Transparency (прозрачност), Consent (съгласие) и Control (контрол).

„Идеята е, че определени директории – например директорията с документи на потребителя, работният плот, изтеглените файлове, папките на браузъра и бисквитките – всъщност са защитени от операционната система“, обяснява Уордъл. Ако софтуерът за откуп намери път към системата, „той ще се сблъска с TCC и няма да може да получи достъп до файловете, които иска да криптира, без или друг експлойт, или без да накара потребителя изрично да одобри достъпа“.

Тази радостна новина обаче има уговорка. „Apple е свършила чудесна работа по внедряването на механизми за сигурност, но – предупреждава Уордъл, – тези функции все още не са реално изпробвани. Може би хакерите ще започнат да се ровят и ще открият някои недостатъци. Например TCC е изпъстрена със заобикаляния практически от първия ден.“

„Би било наивно да се мисли, че нападателите няма да подобрят техниките си и да създадат по-ефективен ransomware“, заключава той. „Затова смятам, че е наистина чудесно да говорим за това сега.“

Източник: DARKReading

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
26/02/2024

Малави спря издаването на п...

Съобщава се, че правителството на Малави...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!