La minaccia ransomware è un problema crescente per gli utenti di tutto il mondo e ora sembra che anche i dispositivi Mac vengano presi di mira da Lockbit, una delle cyber gang considerata tra le più attive nello scenario cyber criminale.
“La gang ransomware Lockbit sembrerebbe essere il primo gruppo criminale di sempre ad aver sviluppato un encryptor concepito esplicitamente per cifrare i documenti memorizzati su sistemi macOS”, commenta a Cybersecurity360 Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“Il ritrovamento è senza dubbio preoccupante, in primis perché dimostra la capacità di gang ransomware come Lockbit di evolvere le proprie capacità offensive ed estendere le proprie operazioni ampliando i potenziali bersagli dei loro attacchi”, sottolinea ancora l’analista.
"locker_Apple_M1_64": 3e4bbd21756ae30c24ff7d6942656be024139f8180b7bddd4e5c62a9dfbd8c79
As much as I can tell, this is the first Apple's Mac devices targeting build of LockBit ransomware sample seen…
Also is this a first for the "big name" gangs?
🤔@patrickwardle
cc @cyb3rops pic.twitter.com/SMuN3Rmodl— MalwareHunterTeam (@malwrhunterteam) April 15, 2023
Indice degli argomenti
Ransomware Lockbit prende di mira i sistemi macOS
Finora, il ransomware Lockbit aveva preso di mira esclusivamente i sistemi Windows, ma evidentemente il progresso e il desiderio di profitto hanno aumentato la platea di diffusione di questo malware e ora gli aggressori stanno attaccando attivamente i dispositivi Mac.
Il problema è stato segnalato da uno specialista di MalwareHunterTeam, che ha scoperto un archivio ZIP su VirusTotal contenente un ampio pool di crittografici Lockbit disponibili.
Tra questi c’era anche l’encryptor locker_Apple_M1_64 che, come il nome fa supporre, sembrerebbe essere apparentemente destinato ai nuovi Mac con Apple Silicon.
Inoltre, “all’interno dell’archivio compresso sono presenti moduli di cifratura (encryptor) sviluppati per le diverse architetture presenti in commercio, compresi sistemi precedentemente non attaccati dal gruppo come architetture macOS, ARM, FreeBSD, MIPS e SPARC”, fa notare ancora Paganini.
Tra le altre cose, l’archivio conteneva compiler per processori PowerPC, utilizzati sui vecchi computer Mac.
Dato che il file locker_Apple_M1_64 è stato caricato su Virus Total nel dicembre 2022, sembra ovvio che questi campioni sono in uso da tempo.
La variante di Lockbit per macOS sarebbe ancora in fase di sviluppo
Tuttavia, un dettaglio positivo viene offerto dal ricercatore di Cisco Talos Azim Khodjibaev, che ritiene che gli scrambler molto probabilmente non siano pronti per l’implementazione in attacchi reali su dispositivi macOS e che quei progetti fossero destinati a test e non all’uso in attacchi informatici reali.
Resta il fatto che ovviamente si tratta di opinioni personali e non supportate da fatti: l’unica certezza, al momento, resta il rilevamento degli eseguibili malevoli, sviluppati per il mondo Mac.
Un altro esperto di sicurezza informatica di macOS, Patrick Wardle, ha anche lui confermato la teoria secondo cui queste build siano in fase di sviluppo e test, poiché attualmente manca la funzionalità richiesta per crittografare correttamente un Mac.
In particolare, fa notare Pierluigi Paganini, “sempre secondo Wardle l’encryptor LockBit ritrovato è stato compilato per macOS, ma non è ancora progettato per colpire questi sistemi. Innanzitutto, il sistema è stato firmato con un processo “ad-hoc” e non utilizzando il processo di firma ufficiale disponibile per gli sviluppatori di applicazioni Apple. Ciò significa che se si tenta di eseguirlo su un sistema macOS non potrà funzionare a meno di ulteriori accorgimenti”.
macOS blocca il file a causa della firma non valida.
“L’encryptor, inoltre, non sembra prendere in considerazione il meccanismo di sicurezza implementato da Apple per proteggere i file su sistemi macOS (e.g. TCC, SIP, ecc.), per questo motivo il modulo non sarà in grado di crittografare granché”, continua ancora Paganini.
Inoltre, sottolinea sempre l’analista, “un bug scoperto nel software è causa di una eccezione (tecnicamente parliamo di un buffer overflow) che provoca la terminazione del programma. Quindi, nella forma ritrovata nell’archivio, l’encryptor Lockbit per macOS non può funzionare”.
In ogni caso, la minaccia rimane tale almeno finché non si conosceranno nel dettaglio tutte le funzionalità di questi eseguibili e non si troveranno casi di specie in attacchi reali e poi rivendicati dal gruppo.
Da notare, infine, che il gruppo Lockbit nel suo modus operandi (ormai analizzato dal 2019) è solito rendere note eventuali modifiche o integrazioni nel proprio software. Può essere quindi plausibile una rivendicazione futura anche in tal senso, riguardo proprio questa nuova variante, soprattutto se sfruttata attivamente in attacchi reali.
Dobbiamo preoccuparci? Il parere di Paganini
Secondo l’analista di cyber security e CEO Cybhorus, la risposta è affermativa. I file trovati sono certamente frutto di sperimentazioni del gruppo e dimostrano il suo impegno nello sviluppo di encryptor per nuove piattaforme.
Tale tesi è supportata anche da porzioni di codice nel software che sono utilizzate dalle versioni Windows a Linux e che sono state lasciate perché parte della stessa base di sviluppo.
È tuttavia lecito attendersi un’evoluzione della minaccia che presto potrebbe colpire i sistemi macOS ampliando di fatto il suo raggio di azione.
