Uno dei ransomware più diffusi, che hanno provocato maggiori danni a livello mondiale allunga i suoi tentacoli anche sui sistemi macOS.
Dopo aver preso di mira gli utenti Windows, LockBit comincia ad aggredire anche i possessori di sistemi basati sul sistema operativo della Mela.
In un altro articolo abbiamo descritto nel dettaglio il funzionamento di LockBit spiegando che si tratta di una minaccia in continua evoluzione. Come BlackCat e altri malware della stessa categoria, LockBit è infatti un RaaS (Ransomware-as-a-Service): con questa espressione si indica un modello di business relativamente nuovo sulla quale del quale i creatori di ransomware mettono a disposizione di altri soggetti la propria infrastruttura e il proprio software per attaccare le vittime e chiedere il pagamento di un riscatto in denaro.
I criminali informatici forniscono insomma il codice del malware e un’interfaccia utente per personalizzare l’attacco. I soggetti che usano il servizio RaaS versano una percentuale del riscatto raccolto agli sviluppatori del ransomware che hanno quindi interesse nel continuare a svilupparlo e aggiungere via via nuove funzionalità sempre più evolute.
LockBit attacca anche i sistemi macOS
I ricercatori di MalwareHunterTeam, con l’aiuto di VirusTotal, hanno scoperto un campione del ransomware LockBit contenente routine di codifica dei file sviluppate appositamente per i sistemi macOS oltre che per ARM, FreeBSD, MIPS e SPARC.
Fino ad oggi LockBit si era limitato ad aggredire i sistemi Windows, Linux e i server VMware ESXi.
Per quanto riguarda macOS, gli sviluppatori di LockBit sembrano essersi al momento concentrati sui più recenti sistemi basati su Apple Silicon ovvero costruiti attorno a un SoC di derivazione ARM (M1 è il capostipite della nuova famiglia di processori Apple).
Il codice contiene comunque riferimenti anche alla vecchia architettura PowerPC che nella storia di Apple l’azienda utilizzò nei vecchi Mac.
I ricercatori esperti di sicurezza (ad esempio Azim Khodjibaev e Patrick Wardle) hanno confermato che c’è un vivo interesse degli sviluppatori di LockBit nei confronti di macOS ma che, almeno per il momento, gli encryptor rivenuti in rete non sono in grado di provocare danni sulla piattaforma della Mela. Manca ancora tutta la gestione della cifratura dei file abitualmente utilizzati dagli utenti sulla piattaforma macOS.
Sembra inoltre che gli sviluppatori di LockBit debbano ancora trovare un modo efficace per superare TCC (Transparency, Consent and Control), il framework di sicurezza introdotto da Apple a partire dal sistema operativo macOS Mojave (versione 10.14) per garantire agli utenti un maggiore controllo sulla riservatezza dei loro dati.
TCC limita l’accesso delle applicazioni ad alcune informazioni sensibili: solo le app approvate da Apple possono “muoversi” con una maggiore libertà d’azione.
Wardle ha pubblicato la sua analisi tecnica del nuovo campione di LockBit per macOS sul blog di Objective See.