Прочутият рансъмуер LockBit се насочва към macOS

Компютрите на Apple в предприятията вече са сериозна примамка за хакерите
(снимка: CC0 Public Domain)

Хакери използват нова версия на прочутия рансъмуер LockBit, написана за macOS, за да нахлуят за първи път в екосистемата на Apple, алармираха специалисти по сигурността. LockBit е един от най-известните рансъмуери, свързан с няколко големи инцидента.

Първото доказателство, че едноименната хакерска група е започнала да експериментира с атаки срещу платформата macOS, беше публикуването на екземпляр на LockBit в хранилището на MalwareHunterTeam на 15 април. Малко след това изследователите на vx-underground установиха, че версията за компютрите на Apple се е появила не по-късно от 11 ноември 2022 г.

Но все още е твърде рано да се бие тревога: вирусът не е готов за пълномащабна атака и появата му трябва да се приеме като декларация за намерение на хакерската група да започне работа върху Apple. В сегашната си форма това е по-скоро злонамерен софтуер за Windows, грубо пренесен към macOS, отбелязва Dark Reading.

При разархивиране на кода са открити редове с артефакти на Windows, включително връзки към файловете autorun.inf и ntuser.dat.log, но вече има променлива, наречена apple_config. Според експертите, голяма част от кода е написан за Linux и впоследствие пренесен към macOS. Подписът към файла съдържа обозначението „ad-hoc”, което в „бойната” версия на вируса ще бъде заменено с откраднат идентификатор на разработчик на Apple.

Групите за рансъмуер все още не са разработили злонамерен софтуер за macOS – техните цели са организации и частни компании, чиито инфраструктури са предимно работни станции с Windows. Устройствата на Apple в корпоративната среда обаче постепенно се увеличават: според данни за 2021 г., предприятията купуват все повече таблети iPad, около 50% от всички смартфони са iPhone, а „средното проникване” на компютри с macOS е около 23%, спрямо 17% две години по-рано.

Apple предвиди този сценарий и предприе някои мерки за защита на своята платформа. Системните файлове на macOS са само за четене – дори с root достъп злонамереният софтуер не може да ги промени. А системата TCC (Transparency, Consent, Control) подсилва защитата на критичните директории.

Това означава, че без допълнителни инструменти вирусът няма да може да криптира файлове, важни за потребителя – ще се нуждае от уязвимост в macOS или изрично потвърждение за достъп от потребителя. Проблемът е, че тези защити все още не са тествани при пълномащабни атаки и ако хакерите започнат да работят с пълна сила, те имат шанс да намерят някои дупки в сигурността.

Коментар