Los actores de amenazas detrás de la operación de ransomware LockBit han desarrollado nuevos artefactos que pueden cifrar archivos en dispositivos que ejecutan el sistema operativo macOS de Apple.
El desarrollo, que fue reportado por MalwareHunterTeam durante el fin de semana, parece ser la primera vez que un equipo de ransomware de gran juego crea una carga útil basada en macOS.
Muestras adicionales identificadas por vx-underground muestran que la variante macOS ha estado disponible desde el 11 de noviembre de 2022 y ha logrado evadir la detección de los motores antimalware hasta ahora.
LockBit es un equipo prolífico de ciberdelincuencia con vínculos con Rusia que ha estado activo desde fines de 2019, y los actores de amenazas lanzaron dos actualizaciones importantes para el casillero en 2021 y 2022.
Según las estadísticas publicado por Malwarebytes la semana pasada, LockBit emergió como el segundo ransomware más utilizado en marzo de 2023 después de Cl0p, con 93 ataques exitosos.
Un análisis de la nueva versión de macOS («locker_Apple_M1_64») revela que todavía es un trabajo en progreso, ya que se basa en una firma no válida para firmar el ejecutable. Esto también significa que las protecciones Gatekeeper de Apple evitarán que se ejecute, incluso si se descarga y ejecuta en un dispositivo.
La carga útil, según el investigador de seguridad Patrick Wardle, incluye archivos como autorun.inf y ntuser.dat.log, lo que sugiere que la muestra de ransomware se diseñó originalmente para apuntar a Windows.
«Si bien sí puede ejecutarse en Apple Silicon, ese es básicamente el alcance de su impacto», Wardle dicho. «Por lo tanto, los usuarios de macOS no tienen nada de qué preocuparse… ¡por ahora!»
Wardle también señaló medidas de seguridad adicionales implementadas por Apple, como la Protección de integridad del sistema (SORBO) y Transparencia, Consentimiento y Control (TCC) que impiden la ejecución de código no autorizado y requieren aplicaciones para solicitar el permiso de los usuarios para acceder a archivos y datos protegidos.
«Esto significa que sin un exploit o una aprobación explícita del usuario, los archivos de los usuarios permanecerán protegidos», explicó Wardle. «Todavía se puede garantizar una capa adicional o detección/protección».
El sabor macOS de LockBit también es un «descendiente directo» de la variante de Linux, y no «implementa ninguna funcionalidad para filtrar los datos que bloquea, ni tiene ningún método de persistencia», dijo Phil Stokes, investigador de SentinelOne. dichodetallando el estado actual de desarrollo de la amenaza.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Los hallazgos, a pesar de los errores generales de los artefactos, son una señal definitiva de que los actores de amenazas están poniendo cada vez más su mirada en los sistemas macOS.
Desde entonces, un representante de LockBit ha confirmado a computadora pitido que el encriptador macOS está «en desarrollo activo», lo que indica que es probable que el malware represente una amenaza grave para la plataforma.
«Desde el punto de vista de un actor de amenazas, bloquear archivos en Mac no es realmente un caso de uso viable […] dado que la interrupción del servicio en muchos casos probablemente no sea grave, pocas organizaciones usan servidores Mac para servicios esenciales», dijo Stokes.
«Además, pasar de una Mac a otra en la forma en que suele hacerlo el malware de Windows es exponencialmente más difícil en Mac. En consecuencia, es probable que el retorno de la inversión para un actor de ransomware al implementar malware de bloqueo de archivos en un punto final de Mac sea sustancialmente menor que ataques similares en servidores Windows y Linux».
(La historia se actualizó después de la publicación para incluir información adicional sobre la variante de macOS de SentinelOne).