Владельцы Mac в опасности: новые шифровальщики LockBit нацелены на macOS

Исследователи кибербезопасности MalwareHunterTeam обнаружили новые шифровальщики LockBit , специально созданные для атак на компьютеры Mac. Это станет первой крупной вымогательской кампанией, нацеленной на macOS.

Эксперты обнаружили на VirusTotal ZIP-архив , который, по-видимому, содержал большинство новых доступных шифровальщиков LockBit.

В основном LockBit использует шифраторы, предназначенные для атак на серверы Windows, Linux и VMware ESXi. Однако, найденный архив содержал также ранее неизвестные шифровальщики для процессоров macOS, ARM, FreeBSD, MIPS и SPARC.

Новые шифровальщики LockBit в архиве

Архив содержит файл с именем «locker_Apple_M1_64», который нацелен на более новые компьютеры Mac, работающие на процессоре Apple Silicon. Также есть шифраторы для процессоров PowerPC, которые используют старые Mac.

Отметим, что «locker_Apple_M1_64» был загружен на Virus Total ещё в декабре 2022 , что указывает на то, что эти образцы уже некоторое время используются.

Исследование показало, что шифратор содержит список из 65 расширений и имён файлов, которые исключаются из шифрования, причем все они являются расширениями файлов и папками Windows. Среди них «.exe», «.bat», «.dll», «autorun.inf» и другие.

Хорошая новость заключается в том, что эти шифраторы, скорее всего, не готовы к развертыванию в реальных атаках на устройства macOS. Исследователь Cisco Talos Азим Ходжибаев сказал, что шифраторы предназначались для тестирования и никогда не предназначались для использования в реальных кибератаках.

Более того, представитель LockBit (LockBitSupp) подтвердил СМИ, что шифратор для Mac «активно разрабатывается».

Эксперт по кибербезопасности macOS Патрик Уордл также подтвердил теорию Cisco о том, что эти сборки находятся в стадии разработки/тестирования, заявив, что шифратор далек от завершения, поскольку ему не хватает необходимых функций для правильного шифрования компьютеров Mac.

Твит исследователя Патрика Уордла о новом шифровальщике LockBit

Уордл добавил, что шифратор для macOS основан на версии для Linux и скомпилирован для macOS с некоторыми базовыми настройками конфигурации. Кроме того, при запуске шифровальщика macOS у Уордла происходил сбой из-за ошибки переполнения буфера в его коде. Подробный технический анализ нового шифровальщика для Mac, проведенный Уордлом, можно найти на сайте Objective See .