LockBit ransomware sada napada MacOS
LockBit ransomware sada napada MacOS pokazuju analize MalwareHunterTeam sigurnosnih istraživača.
LockBit ransomware sada napada MacOS; Dizajn: Saša Đurić
MacOS ransomware
Čini se da je po prvi put u istoriji kompanije Apple, ozloglašena banda koja širi ransomware LockBit svoj fokus prebacila na uređaje sa MacOS operativnim sistemom. LockBit ransomware grupa je sada u mogućnosti da šifruje podatke na Mac uređajima, čime su proširili svoje mogućnosti pored napada na Windows, Linux i VMware ESXi servere na Apple uređaje. Analize uzorka u posjedu sigurnosnih istraživača pokazuju da je varijanta MacOS ransomware zlonamjernog softvera dostupna od 11. novembra 2022. godine, ali je do sada uspješno izbjegavala detekciju od strane sigurnosnih rješenja.
LockBit ransomware grupa
Jedna od uspješnijih ransomware grupa ikada, LockBit grupa je kolektiv koji je pokušao da ne skreće puno pažnju na sebe uprkos velikom broju napada. Ali kako je rasla, grupa je postala agresivnija i možda nemarnija.
LockBit ransomware se pojavio krajem 2019. godine, pod nazivom “ABCD ransomware”. Od tada raste veoma brzo. Grupa radi sa pretplatničkim modelom ransomware kao usluga (eng. ransomvare-as-a-service – RaaS), što znači da centralni dio tima razvija zlonamjerni softver i održava Internet stranicu, preko koje licencira svoj kôd “korisnicima” koji iznajmljuju zlonamjerni softver za pokretanje napada.
Obično, kada grupe koje rade sa pretplatničkim modelom ransomware kao usluga uspješno napadnu neku organizaciju i budu plaćene, one dijele profit sa korisnikom usluge koji iznajmljuje ransomware. U slučaju LockBit grupe, poslovni model je skroz preokrenut. Korisnici usluge po modelu ransomware kao usluga direktno prikupljaju uplate od svojih žrtvi, a zatim plaćaju glavnom LockBit timu njihov dio naknade. Poslovni model izgleda da dobro funkcioniše i pouzdan je za LockBit grupu.
“Oni su najozloglašenija ransomware grupa, zbog njihovog učešća. A razlog njihovog uspeha je taj što je njihov vođa dobar biznismen. Nije da ima tako sjajne liderske sposobnosti. Napravili su softver za ransomware koji bi svako mogao da koristi, ažuriraju svoj softver, stalno traže povratne informacije korisnika, brinu o njihovom korisničkom iskustvu, privlače ljude iz rivalskih bandi. On to vodi kao posao i zbog toga je veoma, veoma privlačan kriminalcima.”
Ransomware u razvoju
Analiza nove verzije MacOS zlonamjernog softvera (locker_Apple_M1_64) otkriva da je još uvijek u toku razvoj ovog softvera, jer se oslanja na nevažeći potpis za potpisivanje izvršnog fajla. To takođe znači da će Apple zaštita Gatekeeper spriječiti njegovo pokretanje čak i ako je preuzet i pokrenut na uređaju. Aktivni dio virusa se pakuje u datoteke kao što su autorun.inf i ntuser.dat.log, što ukazuje da je ransomware uzorak prvobitno namijenjen da cilja Windows operativne sisteme.
“Iako da, zaista može da radi na Apple Silicon, to je u suštini vrhunac njegovog uticaja. Tako da korisnici MacOS-a nemaju o čemu da brinu…za sada!”
Sigurnosni istraživači za sada ističi da sigurnosni mehanizmi kompanije Apple kao što je System Integrity Protection (SIP) i Transparency, Consent, and Control (TCC) mogu da spriječe pokretanje neovlaštenog kôda i zahtijevaju da korisnik da dozvolu za pristup zaštićenim datotekama i podacima. Ovo znači da bez aktivne ranjivosti ili isključivo dozvole korisnika, uređaj ostaje zaštićen od ove prijetnje, ali preporuka je još jedan sloj zaštite uređaja.
Detaljnije istraživanje ovog uzorka zlonamjernog softvera navodi sigurnosne istraživače na zaključak da je ovo samo testna verzija koja nikad nije bila namijenjena za stvarne napade na korisnike. To potvrđuje činjenica da otkrivenom uzorku nedostaju odgovarajuće funkcionalnosti da uspješno izvrši enkripciju Mac uređaja. Istraživači smatraju da je softver baziran na Linux verziji i onda kompajliran za MacOS sa nekim osnovnim podešavanjima konfiguracije.
Javni predstavnik LockBit ransomware grupe, pod nadimkom LockBitSupp, je odgovorio na upit BleepingComputer portala. Rekao je da je enkriptor “u aktivnom razvoju”. Treba imati na umu da LockBit ransomware grupa ima istoriju poigravanja sa sigurnosnim istraživačima i medijima, ali ako je istina, vjerovatno ćemo vidjeti više bolje napravljenih verzija u budućnosti.
Zaštita
Istorijski gledano, Windows operativni sistem je najčešća meta ransomware napadima, ali ništa ne sprečava zlonamjerne aktere da naprave ransomware koji cilja na Mac računare. Pošto je LockBit ransomware grupa poznata po tome što pomjera granice u razvoju ransomware zlonamjernog softvera, ne bi bilo iznenađenje vidjeti naprednije i optimizovane enkriptore za Apple uređaje objavljene u budućnosti.
Stoga je preporuka svim korisnicima uređaja, uključujući i vlasnike Mac uređaja, da praktikuju dobre navike sajber bezbjednosti na Internetu, uključujući ažuriranje operativnog sistema, izbjegavanje otvaranja nepoznatih priloga i izvršnih datoteka, pravljenje rezervnih kopija podataka na eksternim medijima i korištenje jakih i jedinstvenih lozinki na svakoj lokaciji koju posjećuju.
