Търсене
Close this search box.

Насочвайки се към потребителите на Apple, LockBit отива там, където никоя голяма банда за рансъмуер не е била.

Печално известната банда за изнудване LockBit е разработила версия на своя зловреден софтуер за устройства с MacOS – първото навлизане на голяма група за изнудване на територията на Apple.

LockBit е една от най-плодотворните в света операции с рансъмуер като услуга (RaaS), известна с участието си в атаки на високо ниво, сложни зловредни предложения и отличен PR.

Първите доказателства, че бандата експериментира с macOS, бяха публикувани от хранилището за рансъмуер на MalwareHunterTeam на 15 април. „Доколкото мога да кажа – гласеше туитът, – това е първата насочена към устройствата Mac на Apple компилация на образеца на рансъмуер LockBit … Дали това е първият случай за бандите с „големи имена“?“

Малко след това vx-underground – сайт за изследване на зловреден софтуер – добави брънка към историята. „Изглежда, че сме закъснели за играта“, пише в Туитър. „Вариантът за macOS е наличен от 11 ноември 2022 г.“

Криптиращият софтуер за Mac може да вдигне тревога, макар че по-внимателното разглеждане на бинарния файл разкрива, че той не е съвсем готов за праймтайма.

„Засега въздействието върху средния потребител на Mac в предприятието е по същество нулево“, казва пред Dark Reading Патрик Уордъл, основател на фондацията Objective-See. Той е разглобил извадка в анализ, публикуван на 16 април.

Въпреки това той добавя: „Мисля, че на това трябва да се гледа като на предвестник на предстоящи неща. Имате много добре финансирана и мотивирана, голяма група за рансъмуер, която казва: „Хей, насочваме вниманието си към macOS“.

Ще бъдат ли готови потребителите на Mac, когато ransomware най-накрая ги застигне?

LockBit в Mac

Откритието от събота може да се опише най-добре като зловреден софтуер за Windows с тунинг за macOS.

При разопаковането на кода Wardle откри множество низове, свързани с артефакти на Windows – като autorun.inf, ntuser.dat.log и т.н. Единственият компонент, показващ намеренията към операционната система, беше променлива, наречена „apple_config“.

„Това е единственият случай (който открих) на специфични за macOS препратки/приспособления“, отбеляза Wardle в анализа, като добави, че „(останалата част от бинарния код на зловредния софтуер просто прилича на Linux код, компилиран за macOS)“.

Имаше и други признаци, че разработчиците все още не са завършили проекта си. Например кодът е бил подписан „ad-hoc“ – заместител на, да речем, откраднат Apple Developer ID. Това би могло да бъде заместител за бъдещи клиенти на RaaS, но засега, обяснява Уордъл, „това означава, че ако бъде изтеглен в система с MacOS (т.е. разгърнат от нападателите), MacOS няма да му позволи да работи“.

Достатъчно е да се каже: LockBit все още не е пробила  Apple. Но това не означава, че потребителите на Mac могат да се отпуснат.

Окупиращият софтуер е насочен към Mac компютрите

Никога досега някоя от големите компании за рансъмуер – Conti, Clop, Hive и др. – не е разработвала рансъмуер за компютри Mac. Причината за това може да е преди всичко една.

„Погледнете традиционно кои са целите на големите атаки с рансъмуер. Това са предприятията: болници, индустриалци, тези по-традиционни компании“, посочва Уордъл. „Те обикновено са базирани на Windows.“

Бавно обаче устройствата на Apple се разпространяват в корпоративните среди. Данните от проучване на JAMF от 2021 г. сочат, че таблетите на Apple са предпочитан избор за предприятията, iPhone представляват около половината от всички смартфони в бизнес средите, а „средното проникване“ на устройства с macOS в предприятията е около 23%, в сравнение със 17% две години по-рано.

„Пандемията и работата от вкъщи наистина стимулираха това“, твърди Уордъл. „Много хора имат компютри Mac. И тъй като по-младото поколение навлиза в работната сила – то се чувства по-комфортно с екосистемата на Apple.“

Вследствие на това той добавя, че „хакерите, които са много опортюнистични, осъзнават, че много от потенциалните им жертви сега са в преход и затова трябва да развиват своите злонамерени творения“.

Така че въпросът може би не е дали групите за изнудване ще се насочат към macOS, а колко скоро. „Това,“ смята Уордъл, „е въпросът за милион долара.“

Подготвени ли са устройствата на Apple за рансъмуер?

За щастие на потребителите на Mac, Apple е предвидила този ден „D“ на ransomware и активно се е подготвила да го изпревари. Уордъл посочва две основни защити, които вече са вградени в операционната система.

На първо място, казва той, „системните файлове са в режим само за четене. Така че дори ако ransomware получи root достъп до компютъра, той все още няма да може да промени тези критични файлове и да блокира или да направи системата неработеща.“

Втората е TCC – съкращение от Transparency (прозрачност), Consent (съгласие) и Control (контрол).

„Идеята е, че определени директории – например директорията с документи на потребителя, работният плот, изтеглените файлове, папките на браузъра и бисквитките – всъщност са защитени от операционната система“, обяснява Уордъл. Ако софтуерът за откуп намери път към системата, „той ще се сблъска с TCC и няма да може да получи достъп до файловете, които иска да криптира, без или друг експлойт, или без да накара потребителя изрично да одобри достъпа“.

Тази радостна новина обаче има уговорка. „Apple е свършила чудесна работа по внедряването на механизми за сигурност, но – предупреждава Уордъл, – тези функции все още не са реално изпробвани. Може би хакерите ще започнат да се ровят и ще открият някои недостатъци. Например TCC е изпъстрена със заобикаляния практически от първия ден.“

„Би било наивно да се мисли, че нападателите няма да подобрят техниките си и да създадат по-ефективен ransomware“, заключава той. „Затова смятам, че е наистина чудесно да говорим за това сега.“

Източник: DARKReading

Подобни публикации

3 ноември 2024

Използван е бъг RCE в Microsoft SharePoint за п...

Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено ...
3 ноември 2024

Обходен път поправя замръзване при копиране на...

Microsoft разследва известен проблем, който засяга клиентите на Mic...
3 ноември 2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис (HACLA), един от най-г...
3 ноември 2024

Пазарът на труда в киберсигурността стагнира

Проучването на ISC2 за работната сила в областта на киберсигурностт...
2 ноември 2024

Новото разширение за Chrome ChatGPT Search прил...

Новото разширение за Chrome на OpenAI „ChatGPT search“ не прилича н...
2 ноември 2024

Потребителите на Azure Virtual Desktop с пробле...

Microsoft предупреди клиентите, че може да се появят до 30 минути ч...
Бъдете социални
Още по темата
03/11/2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис...
31/10/2024

Уязвимостите на CyberPanel ...

Заплахите започнаха да използват уязвимостите, открити...
30/10/2024

Руски Spear-Phishing атаки ...

Microsoft съобщава, че нова spear-phishing кампания...
Последно добавени
03/11/2024

Използван е бъг RCE в Micro...

Наскоро разкритата уязвимост на Microsoft SharePoint...
03/11/2024

Обходен път поправя замръз...

Microsoft разследва известен проблем, който засяга...
03/11/2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!