Исследователи кибербезопасности MalwareHunterTeam обнаружили новые шифровальщики LockBit, специально созданные для атак на компьютеры Mac. Это станет первой крупной вымогательской кампанией, нацеленной на macOS.
Эксперты обнаружили на VirusTotal ZIP-архив, который, по-видимому, содержал большинство новых доступных шифровальщиков LockBit.
В основном LockBit использует шифраторы, предназначенные для атак на серверы Windows, Linux и VMware ESXi. Однако, найденный архив содержал также ранее неизвестные шифровальщики для процессоров macOS, ARM, FreeBSD, MIPS и SPARC.
Архив содержит файл с именем «locker_Apple_M1_64», который нацелен на более новые компьютеры Mac, работающие на процессоре Apple Silicon. Также есть шифраторы для процессоров PowerPC, которые используют старые Mac.
Исследование показало, что шифратор содержит список из 65 расширений и имён файлов, которые исключаются из шифрования, причем все они являются расширениями файлов и папками Windows. Среди них «.exe», «.bat», «.dll», «autorun.inf» и другие.
Хорошая новость заключается в том, что эти шифраторы, скорее всего, не готовы к развертыванию в реальных атаках на устройства macOS, пишут в Securitylab. Исследователь Cisco Talos Азим Ходжибаев сказал, что шифраторы предназначались для тестирования и никогда не предназначались для использования в реальных кибератаках.
Более того, представитель LockBit (LockBitSupp) подтвердил СМИ, что шифратор для Mac «активно разрабатывается».
Эксперт по кибербезопасности macOS Патрик Уордл также подтвердил теорию Cisco о том, что эти сборки находятся в стадии разработки/тестирования, заявив, что шифратор далек от завершения, поскольку ему не хватает необходимых функций для правильного шифрования компьютеров Mac.
Уордл добавил, что шифратор для macOS основан на версии для Linux и скомпилирован для macOS с некоторыми базовыми настройками конфигурации. Кроме того, при запуске шифровальщика macOS у Уордла происходил сбой из-за ошибки переполнения буфера в его коде. Подробный технический анализ нового шифровальщика для Mac, проведенный Уордлом, можно найти на сайте Objective See.