Поделиться
Впервые мощная группировка хакеров-шифровальщиков всерьез принялась за iPhone и MacBook
Эксперты по безопасности выявили версии LockBit под процессоры, на базе которых работают компьютеры Apple. Пока они неработоспособны, но это вряд ли продлится долго.
Будет вам и Apple, будет вам и ARM
Создатели шифровальщика LockBit расширили ареал атакуемых операционных систем. Теперь, помимо Windows и Linux, а также серверов VMware ESXi, он способен атаковать macOS, а также FreeBSD и другие системы на базе процессоров ARM, MIPS и SPARC.
Что касается операционных систем Apple, то выявлены версии шифровальщика и под новейшие процессоры M1, и под более старые PowerPC.
LockBit стала первой крупной шифровальной группировкой, вплотную занявшейся системами Apple.
Впервые шифровальщик под M1 был загружен на VirusTotal в декабре 2022 г. Очевидно, он появился примерно тогда же или несколько ранее.
Эксперты редакции издания Bleeping Computer проанализировали код шифровальщика под M1 и обнаружили в нем строки, которые вообще не относятся к Apple. Например, несколько указаний на VMware ESXi. В VMware ранее объявили, что не будут поддерживать архитектуру этих процессоров в принципе.
Кроме того, шифровальщик содержит список из 65 расширений и наименований файлов, которые не будут шифроваться, и это все Windows-файлы, в том числе .exe, .bat, .dll, windm, ntldr, autorun.inf и др.
Практически все строки, относящиеся к ESXi и Windows, обнаруживаются и в версиях шифровальщиков под MIPS и FreeBSD. Что означает единую базу кода у всех версий.
Черновые версии
По данным экспертов Cisco, шифровальщики под macOS не готовы к практическому применению. На данный момент они созданы в тестовых целях.
В свою очередь, эксперт по безопасности macOS Патрик Уордл (Patrick Wardle) заявил, что в шифровальщике отсутствуют некоторые функциональные компоненты, которые позволили бы использовать машины правильно.
По мнению Уордла, это, по сути, Linux-версия, перекомпилированная под macOS и не учитывающая средства защиты операционной системы. Шифровальщик еще должен научиться обходить системы безопасности macOS, и каким-то образом обзавестись действующей электронной подписью.
Мало того, при запуске нынешняя версия шифровальщика моментально прекращает работу из-за ошибки переполнения буфера в своем коде.
«В любом случае это означает, что разработчики LockBit прицелились на macOS и эффективная версия шифровальщика под macOS может появиться уже в ближайшие месяцы, если не недели, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Шифровальщики под macOS — пока редкость, но существуют уже минимум четыре семейства шифровальщиков (KeRanger, FileCoder, MacRansom и EvilQuest), которые пытаются атаковать системы под macOS. Так что пользователям систем Apple стоит быть начеку».
Bleeping Computer отмечает, что представители LockBit подтвердили им, что активно разрабатывают шифровальщик по macOS. Как правило, их итоговые разработки являются весьма эффективными и угрожающими. С другой стороны, за ними водится привычка издеваться над экспертами по безопасности и журналистами, так что только время покажет, действительно ли ведутся разработки шифровальщика под macOS.
Короткая ссылка
