Le gang de rançongiciels LockBit a créé pour la première fois des chiffreurs ciblant les Mac, devenant probablement la première opération majeure de rançongiciel à cibler spécifiquement macOS.
Les nouveaux chiffreurs de ransomware ont été découverts par le chercheur en cybersécurité MalwareHunterTeam qui a trouvé une archive ZIP sur VirusTotal qui contenait ce qui semble être tous les chiffreurs LockBit disponibles.
Historiquement, l’opération LockBit utilise des chiffreurs conçus pour les attaques sur les serveurs Windows, Linux et VMware ESXi. Cependant, comme indiqué ci-dessous, cette archive [VirusTotal] contenait également des chiffreurs jusque-là inconnus pour les processeurs macOS, ARM, FreeBSD, MIPS et SPARC.
Ces chiffreurs incluent également un nommé ‘locker_Apple_M1_64’ [VirusTotal] qui cible les nouveaux Mac fonctionnant sur le processeur M1. L’archive contient également des casiers pour les processeurs PowerPC, que les anciens Mac utilisent.
Des recherches plus approfondies du chercheur en cybersécurité Florian Roth ont trouvé un chiffreur Apple M1 téléchargé sur VirusTotal en décembre 2022, indiquant que ces échantillons flottaient depuis un certain temps.
Versions de test probables
Breachtrace a analysé les chaînes dans le chiffreur LockBit pour Apple M1 et a trouvé des chaînes qui ne sont pas à leur place dans un chiffreur macOS, indiquant qu’elles ont probablement été mélangées au hasard dans un test.
Par exemple, il existe de nombreuses références à VMware ESXi, qui n’a pas sa place dans un chiffreur Apple M1, car VMare a annoncé qu’il ne prendrait pas en charge l’architecture CPU.
De plus, le chiffreur contient une liste de soixante-cinq extensions de fichiers et noms de fichiers qui seront exclus du chiffrement, tous étant des extensions de fichiers et des dossiers Windows.
Un petit extrait des fichiers Windows que le chiffreur Apple M1 ne chiffrera pas est répertorié ci-dessous, tous hors de propos sur un appareil macOS.
Presque toutes les chaînes ESXi et Windows sont également présentes dans les chiffreurs MIP et FreeBSD, indiquant qu’ils utilisent une base de code partagée.
La bonne nouvelle est que ces chiffreurs ne sont probablement pas prêts à être déployés dans des attaques réelles contre des appareils macOS.
Le chercheur de Cisco Talos, Azim Khodjibaev, a déclaré à Breachtrace que, sur la base de leurs recherches, les crypteurs étaient conçus comme un test et n’ont jamais été destinés à être déployés dans des cyberattaques en direct.
Bien que Windows ait été le système d’exploitation le plus ciblé par les attaques de ransomwares, rien n’empêche les développeurs de créer des ransomwares ciblant les Mac.
Le fait qu’ils soient testés indique que des chiffreurs plus avancés et optimisés pour ces architectures de CPU pourraient venir à l’avenir.
Par conséquent, tous les utilisateurs d’ordinateurs, y compris les propriétaires de Mac, doivent adopter de bonnes habitudes de sécurité en ligne, notamment en gardant le système d’exploitation à jour, en évitant d’ouvrir des pièces jointes et des exécutables inconnus et en utilisant des mots de passe forts et uniques sur chaque site que vous visitez.