Насочвайки се към потребителите на Apple, LockBit отива там, където никоя голяма банда за рансъмуер не е била.
Печално известната банда за изнудване LockBit е разработила версия на своя зловреден софтуер за устройства с MacOS – първото навлизане на голяма група за изнудване на територията на Apple.
LockBit е една от най-плодотворните в света операции с рансъмуер като услуга (RaaS), известна с участието си в атаки на високо ниво, сложни зловредни предложения и отличен PR.
Първите доказателства, че бандата експериментира с macOS, бяха публикувани от хранилището за рансъмуер на MalwareHunterTeam на 15 април. „Доколкото мога да кажа – гласеше туитът, – това е първата насочена към устройствата Mac на Apple компилация на образеца на рансъмуер LockBit … Дали това е първият случай за бандите с „големи имена“?“
Малко след това vx-underground – сайт за изследване на зловреден софтуер – добави брънка към историята. „Изглежда, че сме закъснели за играта“, пише в Туитър. „Вариантът за macOS е наличен от 11 ноември 2022 г.“
Криптиращият софтуер за Mac може да вдигне тревога, макар че по-внимателното разглеждане на бинарния файл разкрива, че той не е съвсем готов за праймтайма.
„Засега въздействието върху средния потребител на Mac в предприятието е по същество нулево“, казва пред Dark Reading Патрик Уордъл, основател на фондацията Objective-See. Той е разглобил извадка в анализ, публикуван на 16 април.
Въпреки това той добавя: „Мисля, че на това трябва да се гледа като на предвестник на предстоящи неща. Имате много добре финансирана и мотивирана, голяма група за рансъмуер, която казва: „Хей, насочваме вниманието си към macOS“.
Ще бъдат ли готови потребителите на Mac, когато ransomware най-накрая ги застигне?
Откритието от събота може да се опише най-добре като зловреден софтуер за Windows с тунинг за macOS.
При разопаковането на кода Wardle откри множество низове, свързани с артефакти на Windows – като autorun.inf, ntuser.dat.log и т.н. Единственият компонент, показващ намеренията към операционната система, беше променлива, наречена „apple_config“.
„Това е единственият случай (който открих) на специфични за macOS препратки/приспособления“, отбеляза Wardle в анализа, като добави, че „(останалата част от бинарния код на зловредния софтуер просто прилича на Linux код, компилиран за macOS)“.
Имаше и други признаци, че разработчиците все още не са завършили проекта си. Например кодът е бил подписан „ad-hoc“ – заместител на, да речем, откраднат Apple Developer ID. Това би могло да бъде заместител за бъдещи клиенти на RaaS, но засега, обяснява Уордъл, „това означава, че ако бъде изтеглен в система с MacOS (т.е. разгърнат от нападателите), MacOS няма да му позволи да работи“.
Достатъчно е да се каже: LockBit все още не е пробила Apple. Но това не означава, че потребителите на Mac могат да се отпуснат.
Никога досега някоя от големите компании за рансъмуер – Conti, Clop, Hive и др. – не е разработвала рансъмуер за компютри Mac. Причината за това може да е преди всичко една.
„Погледнете традиционно кои са целите на големите атаки с рансъмуер. Това са предприятията: болници, индустриалци, тези по-традиционни компании“, посочва Уордъл. „Те обикновено са базирани на Windows.“
Бавно обаче устройствата на Apple се разпространяват в корпоративните среди. Данните от проучване на JAMF от 2021 г. сочат, че таблетите на Apple са предпочитан избор за предприятията, iPhone представляват около половината от всички смартфони в бизнес средите, а „средното проникване“ на устройства с macOS в предприятията е около 23%, в сравнение със 17% две години по-рано.
„Пандемията и работата от вкъщи наистина стимулираха това“, твърди Уордъл. „Много хора имат компютри Mac. И тъй като по-младото поколение навлиза в работната сила – то се чувства по-комфортно с екосистемата на Apple.“
Вследствие на това той добавя, че „хакерите, които са много опортюнистични, осъзнават, че много от потенциалните им жертви сега са в преход и затова трябва да развиват своите злонамерени творения“.
Така че въпросът може би не е дали групите за изнудване ще се насочат към macOS, а колко скоро. „Това,“ смята Уордъл, „е въпросът за милион долара.“
За щастие на потребителите на Mac, Apple е предвидила този ден „D“ на ransomware и активно се е подготвила да го изпревари. Уордъл посочва две основни защити, които вече са вградени в операционната система.
На първо място, казва той, „системните файлове са в режим само за четене. Така че дори ако ransomware получи root достъп до компютъра, той все още няма да може да промени тези критични файлове и да блокира или да направи системата неработеща.“
Втората е TCC – съкращение от Transparency (прозрачност), Consent (съгласие) и Control (контрол).
„Идеята е, че определени директории – например директорията с документи на потребителя, работният плот, изтеглените файлове, папките на браузъра и бисквитките – всъщност са защитени от операционната система“, обяснява Уордъл. Ако софтуерът за откуп намери път към системата, „той ще се сблъска с TCC и няма да може да получи достъп до файловете, които иска да криптира, без или друг експлойт, или без да накара потребителя изрично да одобри достъпа“.
Тази радостна новина обаче има уговорка. „Apple е свършила чудесна работа по внедряването на механизми за сигурност, но – предупреждава Уордъл, – тези функции все още не са реално изпробвани. Може би хакерите ще започнат да се ровят и ще открият някои недостатъци. Например TCC е изпъстрена със заобикаляния практически от първия ден.“
„Би било наивно да се мисли, че нападателите няма да подобрят техниките си и да създадат по-ефективен ransomware“, заключава той. „Затова смятам, че е наистина чудесно да говорим за това сега.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.