I criminali informatici dietro l’operazione di ransomware LockBit hanno sviluppato nuovi strumenti in grado di crittografare file sui dispositivi che utilizzano il sistema operativo macOS di Apple.
Lockbit, da dove nasce questo ransomware
La notizia è stata riportata dal team di MalwareHunter il weekend scorso e sembra essere la prima volta che una squadra di ransomware di questo tipo ha creato un payload basato su macOS; ulteriori campioni identificati da vx-underground mostrano che la variante macOS è stata disponibile dal 11 novembre 2022 ed è riuscita a sfuggire alla rilevazione dei motori anti-malware fino ad ora.
LockBit, oltre che il nome di questo ransomware, è una squadra di cybercriminali con legami con la Russia, attiva dal tardo 2019, con i criminali che hanno rilasciato due importanti aggiornamenti al locker nel 2021 e nel 2022; secondo le statistiche rilasciate da Malwarebytes la scorsa settimana, LockBit è emerso come il secondo ransomware più utilizzato nel marzo 2023 dopo Cl0p, rappresentando il 93% degli attacchi riusciti.
Un’analisi della nuova versione macOS (“locker_Apple_M1_64”) mostra che è ancora in fase di sviluppo, poiché si basa su una firma non valida per firmare l’eseguibile; ciò significa anche che le protezioni di Gatekeeper di Apple impediscono l’esecuzione del ransomware, anche se viene scaricato e avviato su un dispositivo.
Il payload, secondo il ricercatore di sicurezza Patrick Wardle, contiene file come autorun.inf e ntuser.dat.log, il che suggerisce che il campione di ransomware era stato originariamente progettato per attaccare Windows.
Wardle ha affermato che, sebbene il malware possa essere eseguito su Apple Silicon, questo è praticamente l’unico impatto che può avere, quindi gli utenti macOS non hanno nulla di cui preoccuparsi, almeno per ora.
Wardle ha anche sottolineato ulteriori salvaguardie implementate da Apple, come la Protezione dell’integrità del sistema (SIP) e la Trasparenza, il Consenso e il Controllo (TCC), che impediscono l’esecuzione di codice non autorizzato e richiedono alle app di chiedere il permesso agli utenti per accedere a file e dati protetti.
“Ciò significa che senza uno sfruttamento o l’approvazione esplicita dell’utente, i file degli utenti rimarranno protetti“, ha sottolineato Wardle. “Tuttavia, potrebbe essere necessario un ulteriore livello di rilevamento/protezione.”
I risultati, nonostante i problemi generali degli strumenti, sono un segnale definito che i criminali informatici stanno sempre più puntando ai sistemi macOS. Un rappresentante di LockBit ha confermato a Bleeping Computer che l’encryptor macOS è “in fase attiva di sviluppo”, il che indica che il malware potrebbe rappresentare una seria minaccia per la piattaforma.
Come difendersi da Lockbit e dai ransomware in generale?
In conclusione, l’emergere di un ransomware come LockBit su dispositivi macOS rappresenta una sfida per la sicurezza informatica della piattaforma.
Tuttavia, gli utenti macOS possono ancora confidare sulle salvaguardie implementate da Apple per proteggere i propri dati e file.
Nonostante ciò, i risultati dell’analisi indicano che i criminali informatici stanno diventando sempre più sofisticati e mirati nella loro attività, quindi è importante che gli utenti adottino buone pratiche di sicurezza informatica e utilizzino soluzioni di protezione affidabili per proteggere i propri dispositivi.
Ricorda oltretutto la regola d’oro che non esiste un attacco ransomware, perché nella stragrande maggioranza dei casi gli attacchi ransomware sono delle mail ingannevoli che mandano file altrettanti ingannevoli che ti impestano il PC di ogni sorta di minaccia, e non credere di essere al sicuro solo perché usi un Mac: che tu usi Windows, Linux o Mac sempre attenzione devi fare quando navighi e scarichi allegati dalle mail.
