Исследователи обнаружили упоминание первой версии шифровальщика LockBit для macOS

ИБ-эксперты обнаружили, что вымогательская группировка LockBit разработала шифровальщики, нацеленные на macOS.

Исследователи из Malware Hunter Team обнаружили упоминание первой версии шифровальщика LockBit для macOS. Известных случаев заражения Mac пока нет, но специалисты считают, что теперь у хакеров есть возможность атаковать устройства Apple.

Разработчики LockBit долгое время сосредотачивались только на Linux и Windows, но сейчас исследователи безопасности обнаружили в Сети упоминание сборки locker_Apple_M1_64. Это говорит о том, что хакерам удалось разработать версию для macOS и фирменных процессоров Apple Silicon.

При этом исследователи из Malware Hunter Team отмечают, что сборку заметили в ноябре прошлого года, но до сих пор не было случаев заражения Mac. Эксперты считают, что компаниям и пользователям надо сохранять бдительность и иметь в виду, что теперь LockBit может атаковать устройства от Apple.
Специалисты считают, что это кампания может стать первой крупной вымогательской операцией, нацеленной на пользователей Mac.
Первым новую малварь заметил исследователь MalwareHunterTeam, нашедший на VirusTotal ZIP-архив, который содержал большинство доступных шифровальщиков LockBit.
Хотя обычно хакеры используют шифровальщики, предназначенные для атак на Windows, Linux и VMware ESXi, в этом архиве содержались ранее неизвестные специалистам вредоносы для атак на macOS, ARM, FreeBSD, MIPS и SPARC.

В частности, архив содержал locker_Apple_M1_64, нацеленный на новые Mac (VirusTotal), работающие на базе Apple Silicon, а также в архиве есть вредоносы для PowerPC, которые используют старые Mac.

Как отмечает издание Bleeping Computer, малварь для Apple M1 содержит строки, которые явно неуместны в шифровщике macOS, то есть они, скорее всего, были случайно скопированы во время теста. Например, в коде присутствуют многочисленные ссылки на VMware ESXi (хотя VMare объявила, что не будет поддерживать эту архитектуру Apple), а также расширения файлов и имена папок, используемые Windows, которые нужно исключить во время шифрования.

Эксперт Cisco Talos Азим Ходжибаев сообщил журналистам, что малварь, вероятно, предназначались для тестирования, а не для использования в реальных атаках. С ним согласен специалист по безопасности macOS Патрик Уордл, который так же считает, что пока шифровальщики находятся в стадии разработки или тестирования. Уордл подчеркнул, что на данный момент малвари не хватает необходимых функций «для правильного шифрования компьютеров Mac».

Журналисты отмечают, что пока неясно, насколько шифровальщик для macOS может быть полезен хакерам в атаках на предприятия, однако некоторые «партнеры» LockBit нацелены на потребителей и малый бизнес, где такой вредонос может оказаться им весьма полезен.

Представитель группировки LockBit, известный под ником LockBitSupp, подтвердил изданию, что шифровальщик для Mac «активно разрабатывается», но не сообщил никаких деталей.

Источник