Търсене
Close this search box.

Откриха първия голям рансъмуер за macOS

Насочвайки се към потребителите на Apple, LockBit отива там, където никоя голяма банда за рансъмуер не е била.

Печално известната банда за изнудване LockBit е разработила версия на своя зловреден софтуер за устройства с MacOS – първото навлизане на голяма група за изнудване на територията на Apple.

LockBit е една от най-плодотворните в света операции с рансъмуер като услуга (RaaS), известна с участието си в атаки на високо ниво, сложни зловредни предложения и отличен PR.

Първите доказателства, че бандата експериментира с macOS, бяха публикувани от хранилището за рансъмуер на MalwareHunterTeam на 15 април. „Доколкото мога да кажа – гласеше туитът, – това е първата насочена към устройствата Mac на Apple компилация на образеца на рансъмуер LockBit … Дали това е първият случай за бандите с „големи имена“?“

Малко след това vx-underground – сайт за изследване на зловреден софтуер – добави брънка към историята. „Изглежда, че сме закъснели за играта“, пише в Туитър. „Вариантът за macOS е наличен от 11 ноември 2022 г.“

Криптиращият софтуер за Mac може да вдигне тревога, макар че по-внимателното разглеждане на бинарния файл разкрива, че той не е съвсем готов за праймтайма.

„Засега въздействието върху средния потребител на Mac в предприятието е по същество нулево“, казва пред Dark Reading Патрик Уордъл, основател на фондацията Objective-See. Той е разглобил извадка в анализ, публикуван на 16 април.

Въпреки това той добавя: „Мисля, че на това трябва да се гледа като на предвестник на предстоящи неща. Имате много добре финансирана и мотивирана, голяма група за рансъмуер, която казва: „Хей, насочваме вниманието си към macOS“.

Ще бъдат ли готови потребителите на Mac, когато ransomware най-накрая ги застигне?

LockBit в Mac

Откритието от събота може да се опише най-добре като зловреден софтуер за Windows с тунинг за macOS.

При разопаковането на кода Wardle откри множество низове, свързани с артефакти на Windows – като autorun.inf, ntuser.dat.log и т.н. Единственият компонент, показващ намеренията към операционната система, беше променлива, наречена „apple_config“.

„Това е единственият случай (който открих) на специфични за macOS препратки/приспособления“, отбеляза Wardle в анализа, като добави, че „(останалата част от бинарния код на зловредния софтуер просто прилича на Linux код, компилиран за macOS)“.

Имаше и други признаци, че разработчиците все още не са завършили проекта си. Например кодът е бил подписан „ad-hoc“ – заместител на, да речем, откраднат Apple Developer ID. Това би могло да бъде заместител за бъдещи клиенти на RaaS, но засега, обяснява Уордъл, „това означава, че ако бъде изтеглен в система с MacOS (т.е. разгърнат от нападателите), MacOS няма да му позволи да работи“.

Достатъчно е да се каже: LockBit все още не е пробила  Apple. Но това не означава, че потребителите на Mac могат да се отпуснат.

Окупиращият софтуер е насочен към Mac компютрите

Никога досега някоя от големите компании за рансъмуер – Conti, Clop, Hive и др. – не е разработвала рансъмуер за компютри Mac. Причината за това може да е преди всичко една.

„Погледнете традиционно кои са целите на големите атаки с рансъмуер. Това са предприятията: болници, индустриалци, тези по-традиционни компании“, посочва Уордъл. „Те обикновено са базирани на Windows.“

Бавно обаче устройствата на Apple се разпространяват в корпоративните среди. Данните от проучване на JAMF от 2021 г. сочат, че таблетите на Apple са предпочитан избор за предприятията, iPhone представляват около половината от всички смартфони в бизнес средите, а „средното проникване“ на устройства с macOS в предприятията е около 23%, в сравнение със 17% две години по-рано.

„Пандемията и работата от вкъщи наистина стимулираха това“, твърди Уордъл. „Много хора имат компютри Mac. И тъй като по-младото поколение навлиза в работната сила – то се чувства по-комфортно с екосистемата на Apple.“

Вследствие на това той добавя, че „хакерите, които са много опортюнистични, осъзнават, че много от потенциалните им жертви сега са в преход и затова трябва да развиват своите злонамерени творения“.

Така че въпросът може би не е дали групите за изнудване ще се насочат към macOS, а колко скоро. „Това,“ смята Уордъл, „е въпросът за милион долара.“

Подготвени ли са устройствата на Apple за рансъмуер?

За щастие на потребителите на Mac, Apple е предвидила този ден „D“ на ransomware и активно се е подготвила да го изпревари. Уордъл посочва две основни защити, които вече са вградени в операционната система.

На първо място, казва той, „системните файлове са в режим само за четене. Така че дори ако ransomware получи root достъп до компютъра, той все още няма да може да промени тези критични файлове и да блокира или да направи системата неработеща.“

Втората е TCC – съкращение от Transparency (прозрачност), Consent (съгласие) и Control (контрол).

„Идеята е, че определени директории – например директорията с документи на потребителя, работният плот, изтеглените файлове, папките на браузъра и бисквитките – всъщност са защитени от операционната система“, обяснява Уордъл. Ако софтуерът за откуп намери път към системата, „той ще се сблъска с TCC и няма да може да получи достъп до файловете, които иска да криптира, без или друг експлойт, или без да накара потребителя изрично да одобри достъпа“.

Тази радостна новина обаче има уговорка. „Apple е свършила чудесна работа по внедряването на механизми за сигурност, но – предупреждава Уордъл, – тези функции все още не са реално изпробвани. Може би хакерите ще започнат да се ровят и ще открият някои недостатъци. Например TCC е изпъстрена със заобикаляния практически от първия ден.“

„Би било наивно да се мисли, че нападателите няма да подобрят техниките си и да създадат по-ефективен ransomware“, заключава той. „Затова смятам, че е наистина чудесно да говорим за това сега.“

Източник: DARKReading

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
Бъдете социални
Още по темата
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
21/06/2024

Change Healthcare най-после...

UnitedHealth за първи път потвърди какви...
21/06/2024

Хакери на Хамас шпионират П...

Хакери, свързани с Хамас, са замесени...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!