Gli attori di minaccia dietro l’operazione ransomware LockBit hanno sviluppato nuovi artefatti in grado di crittografare i file sui dispositivi che eseguono il sistema operativo macOS di Apple. Si tratta della prima volta che un gruppo di ransomware di alto profilo crea un payload specifico per macOS.
LockBit e la nuova variante per macOS
MalwareHunterTeam ha segnalato lo sviluppo nel corso del fine settimana, mentre ulteriori campioni identificati da vx-underground mostrano che la variante macOS è disponibile dal 11 novembre 2022 e fino ad ora è riuscita a sfuggire alla rilevazione degli antivirus. LockBit è un gruppo cybercriminale attivo dal 2019 con legami con la Russia che ha rilasciato due importanti aggiornamenti del ransomware nel 2021 e 2022. Secondo le statistiche di Malwarebytes, LockBit è emerso come il secondo ransomware più utilizzato nel marzo 2023 dopo Cl0p, con 93 attacchi riusciti.
L’analisi della versione macOS e le protezioni di Apple
L’analisi della nuova versione macOS rivela che è ancora in fase di sviluppo e si basa su una firma digitale non valida per firmare l’eseguibile. Ciò significa che le protezioni Gatekeeper di Apple impediranno l’esecuzione del ransomware anche se viene scaricato e lanciato su un dispositivo. Il ricercatore di sicurezza Patrick Wardle sottolinea che il payload include file come autorun.inf e ntuser.dat.log, il che suggerisce che il campione di ransomware è stato originariamente progettato per colpire Windows. Tuttavia, Wardle rassicura gli utenti macOS affermando che, per ora, non hanno nulla di cui preoccuparsi.
Wardle fa anche riferimento alle ulteriori misure di sicurezza implementate da Apple, come la System Integrity Protection (SIP) e la Transparency, Consent, and Control (TCC), che impediscono l’esecuzione di codice non autorizzato e richiedono alle app di chiedere il permesso degli utenti per accedere a file e dati protetti. Nonostante ciò, suggerisce che un ulteriore strato di rilevamento e protezione potrebbe essere opportuno.